GovernancaTI COBIT PDF

Mdulo 1
Introduo a Governana de TI
Curso Online
Todos os direitos de cpia reservados. No permitida a distribuio fsica ou eletrnica

deste material sem a permisso expressa do autor.
www.tiexames.com.br
Bem vindo ao Curso de COBIT

Este curso foi desenvolvido a partir do COBIT 4.0, fornecido pelo ISACA. O propsito
deste curso ajudar voc a entender os conceitos de Governana de TI e o uso do
Framework COBIT (Control Objectives for Information and related Technology Objetivos de Controle para Informaes e Tecnologia correspondente ), seu propsito e
como aplic-lo na prtica. Alm disto, no final deste curso voc estar apto para realizar
a Certificao COBIT FOUNDATION.
Este curso tem a durao de 6 horas, sendo dividido em 5 mdulos:
Introduo ao COBIT
Objetivos de Controle
Diretrizes de Gerenciamento e Auditoria
Produtos e Suporte do ITGI
Sobre o Curso
Ao final deste curso voc ir aprender:
Sobre Evoluo da Funo da TI ao longo dos anos
A importncia da TI e como as questes de TI afetam as organizaes;
Conceitos de Governana Corporativa e Governana de TI;
A necessidade de um framework de controle para a Governana de TI;
Como o COBIT atende os requisitos de um framework de Governana de TI;
O relacionamento do COBIT com outros padres e melhores prticas de mercado;
Estrutura do COBIT em detalhes( Objetivos de Controle, Prticas de Controle, Diretrizes
de Gerenciamento, Diretrizes de Auditoria) ;
Os benefcios e desvantagens do uso do COBIT
Os produtos e suporte fornecido pelo ITGI (IT Governance Institute)
Evoluo da TI
Evoluo da TI
A TI tem atuado como um provedor de tecnologia ajudando o negcio a realizar suas
atividades de forma mais eficiente desde o seu surgimento. Durante anos a TI tem se
tornado uma retaguarda para o negcio, chegando no ponto de realizar algumas funes
que at ento seriam impossveis sem a sua ajuda. A TI hoje um elemento essencial para
a organizao.
Maturidade da TI
ITIM = IT Infrastructure Management
Parceiro
Estratgico
ITSM = IT Service Management
Governana de TI
ITSM
Provedor
de Servio
ITIM
Provedor
de Tecnologia
Tempo
Evoluo da Funo de TI dentro das organizaes
Evoluo da TI
A evoluo da TI parte da atuao como Provedor de Tecnologia para um Parceiro
Estratgico. A partir do momento em que a atuao da TI comea a se envolver com o
gerenciamento de valor para o negcio, implementando Governana de TI, ela comea a
se transformar em um parceiro de negcio, possibilitando novas oportunidades de
negcios. Neste estgio, os processos de TI so integrados com o processos do ciclo de
vida do negcio, melhora a qualidade do servio e agilidade no negcio.
A tabela abaixo ilustra a contribuio da TI para o negcio
Provedor de Servios
Parceiro Estratgico
A TI busca eficincia
A TI busca o crescimento do negcio
Os oramentos so baseados em

benchmarks externos
Os oramentos so baseados na estratgia do

negcio
A TI atua independente do negcio
A TI inseparvel do negcio
A TI vista como uma despesa a ser

controlada
A TI vista como um investimento a ser

gerenciado
Os gerentes de TI so tcnicos
Os gerentes de TI so solucionadores de

problemas de negcio
Evoluo do Gerenciamento de TI
Para ajudar as organizaes a se moverem ao longo do caminho de transio, vrias
metodologias tem sido definidas durante anos. A figura abaixo mostra a evoluo destas
metodologias e seus nveis de maturidade em termos de Gerenciamento de Servios.
Maturidade do
Gerenciamento de TI
ISO 20.000
BSI 15000
BSI Code &
OGC ITIL 2
Idade
Escura da TI
IBM ISMA
HP ITSM
ITIL
Tempo
1970
1980
1990
2000
2005
Evoluo das metodologias de gerenciamento de TI
Desafios da TI
Desafios da TI
Por muitos anos, algumas organizaes puderam continuar seus negcios, ainda que
tivessem pouco apoio da TI. Hoje a realidade diferente, a Tecnologia da Informao
um fator crtico de sucesso para a organizao. Com o aumento do peso de
importncia dentro da organizao, a TI passou a ter os seguintes desafios:
Manter os servios de TI disponveis
Gerar valor nos projetos de TI
Reduo de Custos e Riscos
Crescimento da complexidade dos
ambientes de TI
Aumento da presso para alavancar
tecnologia nas estratgias de negcio
Conformidade com normas regulatrias
Manter segurana sobre as informaes
Manter os Servios de TI disponveis

Para a maioria das empresas que dependem de TI para realizar suas operaes, a
disponibilidade do servio se tornou extramente crtica a ponto que se TI parar o negcio
tambm pra. A disponibilidade dos sistemas de informaes contribuem para a
produtividade dos usurios, e o gerenciamento de TI deve assegurar a alta disponibilidade
dos sistemas.
Se a TI parar pode acarretar nos seguintes problemas:
Processos crticos do negcio como processamento
de pedidos so interrompidos
O pessoal da rea administrativa fica impossibilitado
de executar suas atividades dirias como envio de
e-mails ou acesso a documentos.
Os clientes ficam sem acesso aos call centers.
Isto pode resultar ainda em perda de negcios,
reduo de lucros e at mesmo interferir na reputao da empresa.
Gerar valor nos projetos de TI

Devido aos altos investimentos realizados em TI e a importncia estratgica dos Projetos
de TI, as empresas precisam obter retorno sobre o valor investido. A maioria dos projetos
mal gerenciados ultrapassam o oramento inicial ou o prazo de entrega, onde os seus
principais problemas so:
Requisitos mal definidos
Os sistemas so muito complexos para
serem desenvolvidos
Falta de pessoas capacitadas
Avaliao subestimada do esforo necessrio
Falta de Gerenciamento do Projeto
Reduo de Custos e Riscos

Os oramentos esto cada vez mais apertados para a TI e isto cria uma presso para o
departamentos de TI escolherem o portfolio de servios de TI necessrios dentro do
oramento. Como a TI no vista como uma competncia principal dentro empresa, e sim
vista como uma commodity ou uma necessidade do negcio, os riscos que ela cria tornamse mais importantes do que as vantagens que ela cria. As principais razes para este
aumento de custos e riscos so:
A maioria das empresas no sabem como associar os
custos aos seus ativos de TI.
Os oramentos operacionais aumentam a cada ano devido
aos licenciamentos, manutenes e contratos de
outsourcing.
Projetos mal sucedidos levam a perdas financeiras.
Os gastos relacionados a TI que so realizados s unidades
de negcio no esto sendo monitorados.
Crescimento da complexidade dos ambientes de TI

Hoje o desenvolvimento tecnolgico rpido, existem inmeros fornecedores e
solues disponveis no mercado. O controle de TI tem expandido para poder gerenciar
os inmeros prestadores de servio.
Os problemas tpicos devido a este ambiente so:
Manter a competncia tcnica da equipe de TI
Prestador
Servio
Prestador
Servio
Gerenciar diversas infra-estruturas de TI

em vrias filiais
TI
Adaptar-se a rpidas mudanas e novos

desenvolvimentos
Gerenciar relaes com provedores de servios externo
Prestador
Servio
Alinhar a TI com o negcio

O interesse do uso de TI nas empresas e a inovao contnua propiciada pela TI criam
uma vantagem tecnolgica para a empresa. A utilizao de tecnologias mais recentes est
em alta entre as empresas qualificadas tecnologicamente. A meta estratgica para estas
empresas ser de obter uma vantagem tecnolgica sobre os seus concorrentes. O
desenvolvimento de TI deve estar alinhado com o negcio da empresa para poder criar
estas vantagens de negcio. Entretanto na maioria das organizaes as lacunas entre o
que os usurios esperam e o que a TI pode fornecer continua a existir devido as seguintes
razes:
Falta de definio dos requisitos de negcio
Falta de capacidade de esclarecer as prioridades
empresa
TI
Complexidade dos projetos

Falta de comprometimento da alta direo
Problemas de comunicao entre o negcio e a TI
Alinhamento estratgico
Conformidade com normas regulatrias

Existe muita presso sobre as empresas para mostrar que elas so eficientes
(conformidade com os padres e regulamentos) e eficazes (lucrativas). Os Regulamentos
que governam as operaes do negcio impactam o ambiente TI da empresa.
A TI deve dar ateno aos requisitos regulatrios tanto nacionais como internacionais, os
quais se referem a:
Governana Corporativa e relatrios financeiros
Privacidade e segurana
Manter segurana sobre as informaes

Assegurar a segurana dos dados e infra-estrutura uma das metas bsicas do
gerenciamento de TI. Com o aumento da complexidade dos sistemas hoje, vulnerabilidades
e ameaas aumentam, desta forma nunca se pode ter 100% de segurana para a infraestrutura de TI. Da mesma forma que h presso para reduo de custos, h presso para
aumentar a segurana sobre os dados.
Estes riscos tm aumentado devido ao seguintes fatores:
Uso da Internet expondo os sistemas internos da
empresa para o mundo.
Vrus e ataque de hackers.
Aumento da necessidade por informaes
Complexidades tcnicas dos ambientes de TI e
problemas de segurana associados.
Falta de responsabilidade dos usurios em relao ao
uso dos servios de TI.
O que vamos ver agora?
Quais sos os princpios da Governana de TI?

Como a Governana de TI pode ajudar a gerenciar as
questes de gerenciamento de TI?
Quem responsvel pela Governana de TI?
Quais so os benefcios da Governana de TI?
O que Governana de TI?

um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize
adequadamente os objetivos e estratgias de negcio da organizao, adicionando
valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os
investimentos em TI.
A Governana de TI engloba:
Princpios de Governana de TI
Stakeholders de Governana de TI
Escopo de Governana de TI
Nvel Estratgico
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Gerncia de TI e negcios
Nvel Gerencial
Nvel Operacional
Conceito baseado no ITGI
Governana de TI faz parte da Governana Corporativa

O aumento da demanda por a transparncia e conformidade faz com que Conselho
Administrativo e Executivos estendam a governana para a TI e forneam liderana,
estruturas organizacionais e processos que assegurem que as estratgicas de TI sustem e
cubram as estratgias e objetivos da empresa. A Governana de TI no um disciplina
isolada, ela parte integral da governana corporativa.
As responsabilidades na Governana de
TI fazem parte do framework de
governana corporativo e devem fazer
parte da agenda de planejamento
estratgico dos diretores da empresa. De
forma mais simples, para a dependncia
crtica sobre os sistemas de TI, a
governana de ser efetiva, transparente
e responsvel. Desta forma possvel
assegurar que as expectativas sobre TI
sejam alcanadas e os riscos sobre TI
sejam gerenciados.
Governana Corporativa
Governana de TI
Por que a Governana de TI importante?

Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de
informaes (TI), para manipular os dados operacionais e prover informaes gerenciais
aos executivos para tomadas de decises. A criao e manuteno de uma infraestrutura de TI, incluindo profissionais especializados requerem altos investimentos.
Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por
duvidarem dos reais benefcios da tecnologia. Entretanto, a ausncia de investimentos
em TI pode ser o fator chave para o fracasso de um empreendimento em mercados
cada vez mais competitivos. Por outro lado, alguns gestores de TI no possuem
habilidade para demonstrar os riscos associados ao negcio sem os corretos
investimentos em TI.
Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um
processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para
garantir o retorno de investimentos e adio de melhorias nos processos empresariais.
neste cenrio ento que Governana de TI aparece como importncia vital para o
negcio.
Diferena entre Gerenciamento de TI e Governana de TI

A diferena entre o Gerenciamento de Servios em TI e a Governana de TI tem sido
assunto de confuso e mitos. O Gerenciamento de TI foca em fornecer servios de TI e
produtos de forma eficiente e eficaz, e o gerenciamento das operaes de TI, j a
Governana de TI se preocupa com as operaes e performance dos negcios,
transformando e posicionando a TI para alcanar os requisitos de negcio.
Orientao ao
Negcio
A figura ao lado mostra o

posicionamento do
Gerenciamento de TI e a
Governana de TI em duas
dimenses: Orientao ao
Negcio e Orientao ao
Tempo.
Externo
Governana
de TI
Interno
Gerenciamento
de TI
Presente
Futuro
Orientao ao
Tempo
Governana de TI e Gerenciamento de TI
Fonte: Peterson(2003) Information Strategies Tactis for Information Technology Governance
Diferena entre Gerenciamento de TI e Governana de TI

Como introduzido anteriormente, uma das metas da Governana de TI se alinhar com os
objetivos de negcio definidos pela Governana Corporativa. Estas metas organizacionais
de alto nvel e objetivos so usados como entrada para gerar as metas, mtricas de
objetivos e performance necessrias para gerenciar a TI eficientemente. Ao mesmo tempo,
os processos de auditoria so implementados para medir e analisar a performance da
organizao.
Objetivos de Negcio
Governana de TI
Governa e Audita
Servios
Gerencia e Controla
Infra-estrutura
ITSM
Questes a serem tomadas

Uma Governana de TI efetiva visa responder adequadamente as questes a seguir.
Princpios bsicos para a TI
Declaraes de alto nvel sobre como a TI deve

ser usada na organizao
Arquitetura de TI
Escolhas tcnicas, polticas, regras, planos de

migrao (inclui dados, tecnologias e aplicaes)
Estratgias para a Infra-estrutura de TI
Estratgias para os recursos e competncias de

TI compartilhadas na organizao (pessoal, rede,
dados, help desk, etc.)
Necessidades das aplicaes aos

negcios
Especificar necessidades de negcio para

comprar ou desenvolver aplicaes de TI
Decises sobre quanto e onde investir em TI.
Investimentos em TI e suas prioridades Aprovao e justificao de projetos
Estruturas de Governana de TI
A Governana de TI pode ter 4 tipos de estrutura de decises dentro de uma organizao,
vejamos abaixo quais so:
Modelos de
Governana
Monarquia de
Negcios
Os diretores seniores tomam as decises de TI

afetando toda a organizao
Monarquia de TI
Os profissionais de TI podem tomar as decises
Feudalismo
As unidades de negcios podem tomar decises para

as reas de responsabilidade
Federalismo
Deciso coordenada envolvendo a organizao e os

departamentos
Duoplio
Acordo bilateral entre executivos de TI e um outro

grupo
Cada um dos modelos tem seu prprio benefcio. A escolha mais popular o federalismo,
na qual combina decises centralizadas e descentralizadas. A deciso por qual estrutura
utilizar vai depender muito do contexto da organizao.
O Conselho de Administrao e os Executivos so responsveis pela Governana de TI.
Ela envolve estrutura e processos que dirigem a organizao para alcanar seus
objetivos.
Vamos agora discutir sobre os princpios da Governana de TI.
Direo e Controle
Responsabilidade
Prestao de Contas
Atividades
Direo e Controle
Direo e Controle so dois conceitos chaves da Governana de TI.
Direo: O Diretor fornece direo para implementar uma mudana. Para fornecer uma
direo efetiva, o Diretor precisa entender a mudana pretendida. O Diretor dirige outra
pessoa executar a mudana.
Controle: O Controle assegura que o objetivo alcanado e que nenhum incidente
indesejado ocorra.
Direo
Controle
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Especifica os Objetivos Mtricas

E Medidas
Executa as Atividades
Mtricas
Relatrios
Relatrios
Responsabilidade
O CEO normalmente o responsvel pelo controle interno. Os diretores seniores
determinam a responsabilidade para o estabelecimento de um controle interno
especfico ao pessoal responsvel pelas unidades funcionais (departamentos). O
Controle interno de responsabilidade de todos em uma organizao e pode ser uma
funo explcita ou implcita.
Direo
Responsabilidade
Controle
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)

E Medidas
Mtricas
Relatrios
Relatrios
Prestao de Contas
Os colaboradores tem a obrigao de prestar contas, fornecer relatrios ou explicar suas
aes sobre o uso de recursos que lhe so transmitidos. Os executivos prestam contas ao
Conselho Administrativo os quais fornecem governana, direo e monitorao. Para cada
um essencial conhecer como suas aes contribuem para alcanar os objetivos da
organizao.
Controle
Prestao de Contas
Direo
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)

E Medidas
Mtricas
Relatrios
Relatrios
Atividades
As atividades de TI so eficientes quando existe uma boa Governana de TI. Normalmente
os Departamentos de TI nas empresas funcionam como se fossem o motor de um
automvel, onde trabalham conforme aes realizadas pelo motorista, que neste caso se
equivale ao Conselho Administrativo.
Controle
Prestao de Contas
Direo
Responsabilidade
Planeja a Direo
Compara
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)

E Medidas
Mtricas
Relatrios
Relatrios
Stakeholders de Governana de TI
Um elemento que pode ter responsabilidade relacionada a TI ou usufrui de algum
servio gerado pela funo de TI na empresa considerado um stakeholder na
Governana de TI da empresa.
Escopo da Governana de TI
Ns j discutimos sobre os princpios e stakeholders de Governana de TI. Vamos
agora discutir sobre o escopo de Governana de TI. O Escopo de Governana de TI
pode ser classificado em cinco reas, conforme apresentado abaixo:
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Alinhamento Estratgico
O alinhamento estratgico se refere a alinhar a TI com as estratgias do negcio. A
questo chave verificar se os investimentos da empresa em TI esto em harmonia
com objetivos estratgicos da empresa e ainda est desenvolvendo capacidades
necessrias para entregar valor ao negcio.
Objetivos Estratgicos
Especificar os objetivos
Desenvolver estratgias para alcanar
os objetivos especificados
Desenhar planos de aes para
implementar as estratgias
Alinhando TI com o Negcio
Alinhamento Estratgico
A TI ainda considerada um mal necessrio, mas considerada estrategicamente ela
pode fornecer a empresa vrios benefcios:
Benefcios do Alinhamento Estratgico

Valor agregado aos produtos e servios
da empresa
Ajuda no posicionamento competitivo da
empresa
Uso otimizado dos recursos
Custos eficincia administrativa
aperfeioada
Alinhando TI com o Negcio
Entrega de Valor
Um outro domnio chave da Governana de TI a Entrega de Valor.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Entrega de Valor
Os princpios bsicos do valor de TI est na entrega de qualidade apropriada dentro do
prazo e custo, a qual deve atingir os benefcios que foram prometidos. Em termos de
negcio isto pode ser traduzido como: vantagem competitiva, tempo necessrio para o
preenchimento de um pedido/servio, satisfao do cliente, tempo de espera do cliente,
produtividade dos funcionrios e lucro. Para uma entrega de valor TI efetivada ser
alcanada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Governana de TI
A Governana de TI procura estabelecer um modelo de medida de valor entregue pela TI
ao negcio antes de embarcar em grandes projetos.
Gerenciamento de Riscos
O Gerenciamento de Riscos de refere ao tratamento das incertezas.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Gerenciamento de Riscos
O gerenciamento de riscos est diretamente ligado boa governana e envolve, entre outras
coisas, a identificao de riscos sistmicos, tecnolgicos e da informao, a fim de dar maior
proteo aos ativos de TI. Enquanto o objetivo da entrega de servios criar valor, orientado
pelo alinhamento, o gerenciamento de riscos busca preservar valor.
O Gerenciamento de Riscos envolve as seguintes

atividades:
Entendimento sobre os riscos ou atitudes da
organizao que levam aos riscos.
Definio do impacto e a probabilidade de um risco.
Aprovao do plano de ao do Gerenciamento de
Riscos.
Importncia do Gerenciamento de Riscos

Devido ao alto investimento em TI que as empresas esto realizando para poder
atender as exigncia legais e regulamentaes, implementar novos sistemas de
gesto, garantir a segurana das suas informaes, dever ter um controle interno
para garantir a gesto de riscos em seus processos, buscando mais segurana nos
projetos e operaes de TI.
Os riscos so gerenciados de quatro formas:
Mitigao de Riscos: Implementao de controles que protejam contra riscos, por
exemplo, implementao de um firewall de segurana.
Transferncia de Riscos: compartilhar riscos com parceiros ou contratar seguro
apropriado.
Aceitao de Riscos: confirmao e monitorao de riscos, e ter um plano de
resposta ao risco pronto.
Evitando os Riscos: adotar uma opo diferente que evite completamente o risco.
Gerenciamento de Recursos
Gerenciar e otimizar recursos de TI uma outra rea de foco da Governana de TI.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Gerenciamento de Recursos
Um item chave para a performance de TI ter sucesso o investimento otimizado, uso e
alocao de recursos de TI (pessoas, aplicaes, tecnologia e informao) para atender as
necessidades da organizao. Muitas empresas falham ao maximizar a eficincia dos seus
ativos de TI e a otimizao dos custos relacionados a estes. Ainda relacionado com o
Gerenciamento de Recursos est os servios terceirizados, onde se deve considerar onde
e como terceirizar estes servios de forma que eles gerem o valor prometido a um preo
aceitvel.
Pontos de Otimizao de Recursos

Assegurar que existe capacidade
suficiente para dar suporte s
atividades crticas do negcio
Otimizao de custos
Outsourcing
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
A Governana de TI ajuda a otimizar Custos e Recursos
Monitorao de Performance
Esta rea envolve a medio e monitorao das atividades da TI.
Gerenciam.
Recursos
Ger
enc
de R iam.
isco
s
o
a
itor nce
a
Mon
form
Per
o
En
t
n
e o d tre
m ic
eV g
a
g
h
alo a
il n rat
A st
r
E
Domnios
Governana
de TI
Se voc no poder medir o processo, voc no poder gerenci-lo. Se no existir
nenhuma forma de medir e monitorar as atividades de TI, no possvel governar a TI e
assegurar o seu alinhamento, valor entregue, gerenciamento de riscos, e o uso
adequado dos recursos.
Se voc no poder
medir o processo, voc
no poder gerenci-lo.
Para a monitorao de performance ter sucesso, mtricas eficientes devem ser

definidas e aprovadas pelos stakeholders. Estas mtricas podem ser acompanhadas
usando scorecards de performance (pontos de performance).
Para ajudar na monitorao de performance
poder ser utilizado a tcnica do Balanced
Scorecard.
BSC(Balanced Scorecard) uma sigla que,
traduzida, significa Indicadores Balanceados de
Desempenho. Este o nome de uma
metodologia voltada gesto estratgica de
empresas que foi criado pelos professores Robert
Kaplan e David Norton em1992.
Balanced Scorecard uma abordagem que
permite a operacionalizao da estratgia,
facilitando a comunicao e a compreenso dos
objetivos estratgicos aos vrios nveis
organizacionais. Atravs do Balanced Scorecard
a direo das empresas dispe de uma viso
integrada do negcio e de um processo contnuo
de monitoramento do desempenho. Integra-se
com facilidade a outras metodologias como CobiT
e ITIL.
Governana e o Framework de Controle
Framework de Controle
Vamos entender as caractersticas de um framework de controle e discutir cada uma
delas em detalhes.
Caractersticas:
Foco no negcio
Orientada a processo
Padro aceito
Linguagem comum
Requisitos regulatrios
Caractersticas de um framework de controle

A caracterstica chave de um framework de controle o Foco no negcio.
Orientado a processos
Foco no negcio
Requisitos regulatrios
Padro aceito
Linguagem Comum
Benefcios da Governana de TI
At agora voc aprendeu sobre os vrios domnios da Governana de TI. Vamos agora
discutir sobre os seus benefcios.
Principais Benefcios que iremos ver:
Confiana da Alta administrao
TI mais comprometida com o Negcio
Retorno sobre o Investimento (ROI) maior
Servios mais confiveis
Mais transparncia
Confiana da Alta administrao
A TI como sendo um assunto tcnico ela difcil de
ser entendia pelos diretores de negcio. Uma
Governana de TI eficiente pode ajudar a
estabelecer uma comunicao clara para todos.
A linguagem comum tornar os mecanismos de
tomada de deciso mais claros, e facilitar a
transparncia e preciso das informaes
gerenciais.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
TI mais comprometida com o negcio
A TI ser mais focada nas necessidades do
negcio. Agilidade, flexibilidade e
comprometimento so atributos vitais para a
funo de TI no suporte ao desenvolvimento
das necessidades do negcio.
Uma Governana de TI eficiente assegurar
que as decises sejam tomadas com mais
fundamento e clareza, reduzindo os riscos nos
investimentos.
Custo
Recursos
Maior Retorno sobre o Investimento (ROI)
A Governana de TI permite a organizao a aumentar
o seu retorno sobre os investimentos em tecnologias,
assegurando que :
Os investimentos sejam baseados nos benefcios
para o negcio
Previso de custos, benefcios e riscos dos
investimento de forma mais precisa
Reao mais rpida e antecipada diante de
problemas e riscos antecipados
Os requisitos so comunicados de forma eficiente
evitando que a entrega dos resultados dos projetos
no atendam as expectativas
O valor entregue pela TI pode ser gerenciado em 3 camadas:
Alinhamento
Estratgico
Requisitando o correto
servio de TI
Eficcia
Entregando o correto
servio de TI
Eficincia
Entregando servio de
TI corretamente
Servios mais confiveis
A Governana de TI assegura que os
processos crticos e os servios de TI sejam
monitorados, e qualquer incidente ou falha de
alta prioridade seja encaminhada e resolvida.
O servios requerem que nveis mais alto de
confiana sejam implementados para
minimizar a probabilidade de uma falha ou
interrupo de um servio.
A Governana de TI assegura riscos menores,
melhor qualidade dos servios e aumento da
satisfao do cliente.
empresa
TI
Mais transparncia
Uma boa governana de TI ir trazer transparncia das atividades de TI, gastos
relacionados com os recursos e servios de TI, com um claro conhecimento como a TI
entrega valor para o negcio da organizao.
A transparncia ir fornecer
oportunidade para refinar os
processos de TI para gerar valor ao
negcio. Sem saber a verdade, as
organizaes jamais vo conseguir
otimizar a forma que elas operam e
como podero gerar valor a partir dos
seus investimentos.
Conselho
Administrativo
Gerncia Executiva
(CEO, CIO, CFO...)
Mdulo 2
Introduo ao COBIT
Curso Online

www.tiexames.com.br
Objetivos
Este mdulo ir apresentar os conceitos relacionados ao COBIT, estrutura, aplicaes e
benefcios.
Durante este mdulo iremos:
Entender o que o COBIT e quais suas aplicaes

Entender como o COBIT est estruturado
Entender como o COBIT atende os requisitos para um framework
de controle
Entender como o COBIT est relacionado com os requisitos
regulatrios
Descrever como o COBIT ajuda os administradores do negcio e
auditores em uma organizao
Princpios do Framework
Framework do COBIT
O COBIT um framework de governana e

controle, que foca no que precisa ser alado ao
invs de se preocupar em como alcanar.
Processos TI
O acrnimo COBIT significa Control Objectives for

Information and related Technology - Objetivos de
Controle para Informaes e Tecnologias relacionadas.
Critrios de Informao
Vamos apresentar a seguir os componentes do framework do COBIT.
u
ec
s
o
rs
TI
O que o COBIT?
O COBIT um framework que fornece as melhores prticas para o gerenciamento de
processos de TI, estruturados de uma forma gerencivel e lgica, atendendo as vrias
necessidades de gesto da organizao, tratando os riscos de negcio, questes tcnicas,
necessidades de controle e mtricas de desempenho.
O COBIT no um padro definitivo, ele serve como apoio para a implementao de
controles na Governana de TI.
COBIT
esquema de classificao
Guia
material de guia e padres
Ferramentas
Exemplos
Framework
Base de Conhecimento
Famlia de Produtos do COBIT

Existe um mtodo
Como implementar
O mtodo ...
Como medir sua

performance
Os controles mnimos so... Como auditar
Sumrio Executivo para Executivos Seniores (CEO, COO, CFO, CIO)

Framework para Gerncia Operacional Seniores (Diretores de Segurana da Informao e Auditoria)
Objetivos de Controle para a Gerncia Intermediria (Gerentes de Controle e auditoria intermedirio)
Diretrizes de Auditoria para gerentes de linha e especialistas (gerentes de aplicaes e operaes)
Conjunto de Ferramentas de Implementao para qualquer um acima
Diretrizes de Gerenciamento para a Gerncia e Auditores em geral
COBIT como modelo de controle

O COBIT um framework das melhores prticas de controle, entretanto nem todas as
prticas que ele defende podem existir na maioria da empresas. muito importante usar o
framework do COBIT para encorajar a equipe de TI a se inspirar nas melhores prticas.
Como um modelo de controle, o COBIT deve adaptado

para empresa, plataforma de TI e padres de sistemas
Misso do COBIT
Pesquisar, desenvolver, publicar e
promover um conjunto de objetivos de
controle para tecnologia que seja
embasado, atual, internacional e aceito
em geral para o uso do dia-a-dia de
gerentes de negcio e auditores
Aplicao do COBIT
O COBIT foi projetado para utilizao por trs distintos pblicos:
Administradores: para auxili-los na ponderao entre risco e investimento e controle

de ambientes muitas vezes imprevisveis como o de TI;
Usurios: para se certificarem da segurana e dos controles dos servios de TI

fornecidos internamente ou por terceiros;
Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos
administradores sobre controles internos.
COBIT como Framework de Controle

O COBIT um framework de controle que tem o propsito de assegurar que os recursos de
TI estaro alinhados com os objetivos da organizao. Entre seus benefcios, esto o
aumento na qualidade de servios e informaes e o direcionamento de aes para um
equilbrio entre risco e retorno.
O COBIT foca na Governana Corporativa e na necessidade de controles de melhorias nas
empresas. Os controles de TI so necessrios para prestar contas dos gastos financeiros. O
COBIT fornece um framework para controlar a TI e suporta 5 requisitos de um Framework
de Controle:
Define uma linguagem comum para a rea de TI e negcio
Ajuda a atender os requisitos regulatrios
um padro aceito entre empresas
orientado a processos
focado nos requisitos de negcio
Evoluo do COBIT
O COBIT foi criado para atender a necessidade de um framework de controle de TI
compreensivo para o negcio, gerncia de TI, auditores, e eliminar as disparidades de
controles e guias de avaliao.
1996
Primeira edio
do CobiT
ISACA (Information Systems Audit and Control Association

www.isaca.org) lana um conjunto de objetivos de controle para as
aplicaes de negcio
1998
A segunda verso
do CobiT
Inclui uma ferramenta de suporte implementao e a especificao

de objetivos de alto nvel e de detalhe
2000
A terceira verso
do CobiT
Inclui normas e guias associadas gesto. O ITGI (IT Governance

Institute www.itgi.org) torna-se o principal editor do framework
2002
Sarbanes-Oxley
Act
O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um

impacto significativo na adoo do COBIT nos Estados Unidos e
empresas globais que atuam nos EUA
2005
A quarta verso
do COBIT
Melhoria dos controles para assegurar a segurana e disponibilidade

dos ativos de TI na organizao
Origens do COBIT
O COBIT foi desenvolvido a partir do Committee of Sponsoring Organizations of the
Treadway Commission-Internal Control Integrated Framework (COSO), o Controle
de Objetivos original do ISACA, e mais de 50 padres e prticas de mercado em TI.
O COBIT preenche a lacuna entre os modelos de controle de negcio e as melhores
prticas em TI e oferece um modelo para a Governana de TI. Veja abaixo as
principais fontes do COBIT:
Padres Profissionais para o controle e auditoria interna (COSO, IFAC,

AICPA, IIA, etc)
Padres Tcnicos (ISSO, EDIFACT, etc)
Cdigos de Conduta
Critrios de Qualificao para os sistemas e processos de TI (ISSO 9000,
ITSEC, TCSEC, etc)
Prticas da Indstria
Requisitos especficos de alguns negcios emergentes como bancos e
e-commerce.
Evoluo do COBIT
A 3. Edio do COBIT liberada em 2000 teve o desenvolvimento das diretrizes de
gerenciamento e a atualizao da segunda edio baseada em novas e revisadas
referncias internacionais. Ainda, o Framework do COBIT foi revisado e aprimorado para
suportar uma necessidade de controle maior, introduzir o gerenciamento da performance
e ajudar na implementao da Governana de TI.
Empresas que usam COBIT
Maior valor entregue e controle
Novidades no COBIT 4.0

O nova verso do COBIT 4.0 teve vrias melhorias e
simplificaes em seu uso. Veja abaixo as principais
mudanas:
Aperfeioamento de mtricas - KGIs e KPIs
Novas metas de negcio, metas de TI e metas de
processos
Aperfeioamento dos modelos de maturidade
Grficos RACI para indicar as funes de cada um em
cada atividade
Agrupamento dos Objetivos de Controle e Diretrizes de
Gerenciamento em um s volume
Reduo de 30% dos Objetivos de Controle detalhados.
Na verso anterior tnhamos 318 Objetivos de Controle
detalhados, agora temos 214.
Melhor alinhamento com as melhores prticas da ITIL
Qual a Filosofia do COBIT?

O COBIT baseado na filosofia que os recursos de TI precisam ser gerenciados por um
conjunto de processos agrupados naturalmente com o objetivo de fornecer informao
pertinente e confivel para que a organizao consiga alcanar seus objetivos.
Objetivos do
Negcio
Processos do
Negcio
Informao
Recursos TI
O framework do COBIT ajuda a alinhar a TI com o negcio, focando nas necessidades

de informao que o negcio precisa e organizando os recursos de TI. O COBIT fornece
um framework e serve como guia para implementar a Governana de TI.
Qual o Princpio do Framework do COBIT?

O princpio do framework do COBIT vincular as expectativas dos gestores de TI com as
responsabilidades dos gestores de TI. O objetivo facilitar a Governana de TI gerar
valor em TI enquanto se gerencia os riscos de TI.
O princpio do framework derivado de um modelo que mostra a informao com
qualidade sendo produzida por eventos atravs de recursos de TI.
Eventos
Informao
Eficcia
Eficincia
Aplicaes
Confidencialidade
Objetivos de negcio
Oportunidades de
negcio
Requisitos externos
Informao
Integridade
Regulamentos
Infra-estrutura
Disponibilidade
Riscos
Conformidade
Confiabilidade
Mensagem
(entrada)
Pessoas
Servio
(sada)
Componentes do Framework do COBIT

Os trs componentes do framework do COBIT formam as trs dimenses do cubo do COBIT.
Processos
Atividades
Re
Infra-estrutura
Informao
Dominios
Aplicaes
Procesos de TI
de
e
a
d
a
e
d
a
e
i
i
de
l
a
d
d
d
c
i
i
a
a
a
l
a
id
c cin nci rid ibi
id
l
i
if c
m ab
i
n
e
g
E
or
Ef
id nte spo
fi
f
f
n
n
I
n
i
D
Co
Co
Co
r
u
c
s
o
s
Pessoas
de
TI
Processos TI
Processos de TI
Estes processos agrupam as principais atividades

de TI em um modelo de processo, facilitando o
gerenciamento dos recursos de TI para atender as
necessidades do negcio. Os processos de TI so
definidos e classificado em 4 domnios, contendo
34 processos de TI. Estes processos sero
desmembrados e definidos em atividades e
tarefas na organizao.
Dominios
Processos
Atividades
Domnios
Os processos do COBIT so agrupados em
4 domnios:
1. Planejamento e Organizao
2. Aquisio e Implementao
3. Entrega e suporte
4. Monitorao e avaliao
Processos
Definir um Plano Estratgico de TI.

Definir a arquitetura de informao.
Determinar a direo tecnolgica.
Definir a organizao e os relacionamentos da TI.
Gerenciar os investimentos da TI.
Comunicar as metas e os direcionamentos gerenciais
Gerenciar os recursos humanos.
Garantir a conformidade com os requisitos externos.
Avaliar os riscos.
Gerenciar os projetos.
Gerenciar a qualidade.
Planejamento e Organizao
Os 4 domnios
possuem 34
Processos. Estes
processos
especificam o que o
negcio precisa
para alcanar seus
objetivos. A entrega
de informao
controlada por 34
objetivos de
controle de alto
nvel, um para cada
processo.
Aquisio e Implementao
Identificar solues automatizadas (solues de TI).
Prover e manter aplicaes de software.
Prover e manter a infra-estrutura tecnolgica.
Prover e manter a documentao.

Instalar e certificar os sistemas.
Gerenciar as mudanas.
Entrega e Suporte
Definir e manter os nveis de servio.
Gerenciar os servios de terceiros.
Gerenciar o desempenho e a capacidade.
Garantir o servio ininterrupto.
Garantir a segurana dos sistemas.
Identificar e alocar os custos.
Treinar os usurios.
Auxiliar e orientar os clientes.

Gerenciar a configurao.
Gerenciar os problemas e incidentes.
Gerenciar os dados.
Gerenciar as instalaes.
Gerenciar as operaes.
Monitorao
Monitorar os processos.
Avaliar a adequao do controle interno.
Obter garantia independente.
Prover auditoria independente
Atividades
Existem aes que so necessrias para alcanar resultados mensurveis. As
atividades tem ciclos de vida, mas as tarefas no.
Dominios
Processos
Atividades
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade
com os critrios chamados requisitos de negcio.
Requisitos de Qualidade
Qualidade
Custo
Entrega
Requisitos Fiducirios (Relatrio do COSO)
Eficcia e eficincia das Operaes
Confiabilidade das Informaes
Conformidade com Leis e Regulamentos
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade
Requisitos de negcio = Critrios de Informao
Recursos de TI
Os recursos de TI so gerenciados pelos processos de
TI para fornecer informao que a organizao precisa
para alcanar seus objetivos.
Aplicaes: sistemas automatizados e procedimentos

manuais para processar informaes
Informao: os dados de todos os formulrios de

entrada, processados e exibidos pelos sistemas de
informao, podendo ser qualquer formulrio que
usado pelo negcio.
Infra-estrutura: inclui hardware, sistemas operacionais,

sistemas de banco de dados, rede, multimdia, etc.
tudo que necessrio para o funcionamento das
aplicaes.
Pessoas: pessoal necessrio para planejar, organizar,

adquirir, implementar, entregar, dar suporte, monitorar e
avaliar os sistemas de informao e servios. Eles
podem ser internos ou terceirizados.
e
R
os
s
r
cu
TI
O COBIT para a Governana de TI
O COBIT para Governana de TI

Agora vamos aprender como o COBIT atende os requisitos para um Framework de
Controle ou Governana de TI.
Todas as empresas usam o suporte de TI para realizar suas operaes e estratgias.
Desta forma, a Governana de TI e os Frameworks de Controle como o COBIT so
necessrios. Vamos ver mais agora sobre os componentes do COBIT e como o COBIT
usado na Governana de TI.
Componentes das Diretrizes de Gerenciamento

As diretrizes de gerenciamento do COBIT fornecem ferramentas para criar painis,
scorecards, benchmarking para ajudar a responder questes relacionadas a TI e o
negcio. Os principais componentes das diretrizes so os seguintes:
Entradas e sadas de processos

Atividades dos Processos e grficos RACI
Objetivos de Negcio, TI, processo, e atividades
Mtricas indicadores de meta
Mtricas - indicadores de desempenho
Modelos de Maturidade
Key Goal Indicators (KGIs)
Os KGIs para TI so os drivers de negcio,

usualmente suportam as perspectivas
financeiras e clientes, so medidas que refletem
se atingiu-se a meta, so medidas aps o fato
ocorrido, usualmente expressos nos seguintes
termos:
Processo de TI
Indicadores de meta so medidas prdefinidas que indicam se um processo de TI

alcanou o requisito do negcio em termos de
critrios de informao.
Disponibilidade das informaes necessrias

para suportar as necessidades de negcios;
Riscos de falta de integridade e
confidencialidade das informaes;
Eficincia nos custos dos processos e
operaes;
Confirmao de confiabilidade, efetividade e
conformidade das informaes.
Critrio de Informao
Key Goal Indicators
Key Goal Indicators (KGIs)

Exemplos de KGIs:
Aumento do Nvel de entrega de servio
Nmero de clientes e custo por cliente atendido
Disponibilidade dos sistemas e servios
Ausncia de integridade e riscos de confidencialidade
Confirmao da confiabilidade e eficcia
Aderncia ao custo de desenvolvimento e prazo
Custo-eficincia do processo
Produtividade da equipe
Nmero de mudanas aplicadas na hora certa nos processos e sistemas
Aumento da produtividade
Key Performance Indicators (KPIs)

Indicadores de Performance so medidas
pr-definidas que determinam quanto o
processo de TI conseguiu atingir em
relao aos objetivos.
Os KPIs referem-se s perspectivas dos
processos e da inovao, so medidas que
refletem as tendncias em termos de
atingir ou no a meta no futuro, so
medidas antes do fato.
Key Performance Indicators
Key Performance Indicators (KPIs)

Exemplos de KPIs:
Financeiro
Nmero de Clientes de
TI
Custo por Cliente de TI
Custo-eficincia do
servio de TI
Entrega de valor de TI
por funcionrio
Processo
Cliente
Disponibilidade do
Nvel de Entrega de
Servio
Satisfao do cliente
Nmero de novos
clientes
Nmero de novos
canais de servio
Informao
Aprendizado
Produtividade da Equipe
Nmero de pessoas
treinadas em uma nova
tecnologia
Valor entregue por
funcionrio
Aumento da
disponibilidade do
conhecimento
processo e do sistema
Desenvolvimento
dentro do prazo e no
custo
Tempos de respostas
Quantidade de erros e
retrabalho
Atividades dos Processos e Grficos RACI

Atividades dos Processos e grficos RACI mostram vrias funes que existem para as
atividades chaves, podendo ser do tipo:
Responsible (Responsvel),
Accountable (Deve prestar Conta),
Consulted (Deve ser Consultado),
Informed (Deve ser informado).
Os modelos de maturidade de governana so usados
para o controle dos processos de TI e fornecem um
mtodo eficiente para classificar o estgio da organizao
de TI.
Essa abordagem derivada do modelo de maturidade
para desenvolvimento de software, Capability Maturity
Model for Software (SW-CMM), proposto pelo Software
Engineering Institute (SEI). A partir desses nveis, foi
desenvolvido para cada um dos 34 processos do CobiT
um roteiro:
Onde a organizao est hoje
O atual estgio de desenvolvimento da indstria
(fazendo uma comparao da empresa com outras)
O atual estgio dos padres internacionais
Aonde a organizao quer chegar e como ela
planeja isto
A governana de TI e seus processos com o objetivo de adicionar valor ao negcio
atravs do balanceamento do risco e retorno do investimento podem ser classificados,
seguindo o modelo do CMM (Capability Maturity Model), da seguinte forma:
Orientado ao negcio
Orientao ao negcio um dos temas principais do COBIT. Ele foi criado para no ser
empregado apenas pelos provedores de servio de TI, usurios e auditores, mas tambm, e
mais importante, como um guia para os responsveis pela gesto e negcios da empresa.
O COBIT ajuda a implementar um sistema de controle de gerenciamento, isto porque o
COBIT atua abaixo da tecnologia utilizada pela empresa, tendo um foco maior sobre o
negcio. O COBIT foca em dizer o que precisa ser feito, no se preocupando em como
fazer. O COBIT ir trabalhar com padres e melhores prticas na rea de TI como
questes ligadas a segurana, gerenciamento de projetos, e assim por diante.
O COBIT diz o que fazer,

mas no como fazer.
O COBIT e outros Padres de Mercado
Padro de facto
O COBIT um framework nico, no tendo outro similar, pois ele acomoda os padres
internacionais mais importantes e reconhecido como um padro de facto para o
controle de TI. O COBIT est sendo atualizado constantemente para contemplar os
novos cenrios nos negcios.
Relacionamento com outros Padres

Muitas empresas acham conveniente usar o COBIT porque ele se relaciona com outros
frameworks, tais como COSO, ITIL, ISO 17799, CMM e PMBOK.
O ITIL uma
biblioteca das
melhores prticas
para o
gerenciamento de
servios de TI. Ele
focado em como
deve ser os
servios e os
processos de TI.
Fornece
recomendaes
para gesto da
segurana da
informao,
direcionado para
quem responsvel
pela introduo,
implantao ou
manuteno da
segurana em suas
organizaes.
O SEI(Software
Engineering
Institute) a
organizao que
desenhou o
Capability Maturity
Model (CMM). Este
modelo ajuda as
empresas a
melhorem seus
processos de
entrega de software
e controle de
processos.
O Framework
COSO uma
padro aceito
para estabelecer
controles internos
na empresa e
determinar sua
eficcia, pode ser
aplicado a TI
como tambm a
qualquer rea da
empresa.
O PMBOK,
mantido pelo PMI,
uma coleo de
processos e reas
de conhecimento
geralmente
aceitas com
melhores prticas
para o
gerenciamento de
projetos.
ITIL
ISO 17799
CMM
COSO
PMBOK
Vantagens da adoo do COBIT
O COBIT totalmente
compatvel com outros
frameworks.
Estes frameworks fornecem

um ambiente altamente
controlado e flexvel na
organizao.
Faz com que o ambiente de TI se

torne mais responsivo s
necessidades do negcio,
fornecendo mais controle sobre suas
responsabilidades.
Foco de atuao de cada padro

Agora vamos discutir sobre as funes dos vrios padres em vrios nveis de processos na empresa.
Por exemplo, o ITIL foca na entrega de servios e suporte, considerando os aspectos tcnicos do controle
do processo. O CMM foca na execuo do processo de entrega de software e controle do processo. A
ISO 17799 oferece orientaes sobre a segurana dos processos e controles estratgicos. O COBIT foca
tanto no controle do processo como no controle estratgico em uma empresa.
Por que usar
Frameworks?
O que
J existe
Estratgico
Estruturado
Controle
Processo
Melhores Prticas
Execuo
Processo
Instruo
Trabalho
Compartilhamento
De Conhecimento
Melhores prticas internas
Auditvel
Como
Domnios de TI
Benefcios dos Frameworks

Existem vrias razes para adotar um padro j definido:
A roda j existe: tempo dinheiro! Por que gastar tempo e esforo para desenvolver um
novo framework baseado na experincia limitada da empresa ao invs de adotar um padro
internacional j existente?
Estruturado: os modelos de framework fornecem uma excelente estrutura para que as
organizaes possam seguir.
Melhores prticas: os padres foram desenvolvidos ao longo do tempo a avaliados por
centenas de pessoas e organizaes em todo o mundo. Os anos de experincia nos
modelos no so apenas de uma empresa.
Compartilhamento de Conhecimento: seguindo os padres, as pessoas podem
compartilhar as mesmas idias entre as organizaes atravs de grupos de usurios, sites,
revistas, livros e assim por diante.
Auditvel: sem padres se torna difcil para os auditores, especialmente para os auditores
que so terceirizados, para que estes possam avaliar o controle. Isto significa que os
auditores podem seguir os padres ao invs de utilizar prticas de auditorias ainda na fase
inicial de uso.
Relevncia dos padres
Especfico
Geral
Holstico
Relevncia para a TI
A relevncia dos padres e prticas variam em cada empresa conforme suas prioridades e
expectativas. Uma empresa pode decidir adotar um padro por inteiro ou somente parte dele
para melhorar a performance de um processo de negcio ou promover a transformao no
negcio. O COBIT est posicionado no centro como um nvel Geral, ajudando a integrar a
parte tcnica, prticas especficas com o negcio de forma geral.
TCO
ITIL
CMMi
COBIT
6 sigma
PMoK
ISO 9000
Malcolm Baldrige Award
Scorecards
Melhoria Contnua em TI
A melhoria continua de TI exige um ciclo de aes
Para onde
queremos ir?
Onde estamos
Como chegamos
l?
Como saberemos
se chegamos?
Viso e Objetivos
Avaliaes
Desenho de TI
Mtricas
ITIL
ISO17799
COBIT
Alinhamento
Conformidade com o COBIT
Segurana ISO17799
Benchmark de custos
Pesquisas de satisfao
ITIL
ISO17799
COBIT
Diretrizes de
Gerenciamento e
Auditoria do COBIT
Relao com o COSO

O COSO declara que o controle interno um processo estabelecido pelo conselho
administrativo, gerentes e outros desenhado para fornecer uma segurana razovel
relacionada a realizao dos objetivos declarados. um framework aplicado para auditar
processos em grandes empresas, em qualquer atividade.
Da mesma forma que COSO identifica

5 componentes de controle para alcanar os
objetivos de reporte financeiro, o COBIT
proporciona um guia detalhado para TI.
A diferena maior que o COSO genrico,
pode ser utilizado em qualquer atividade da
empresa, enquanto que o COBIT voltado
somente para a rea de TI.
Componentes do COSO
O COBIT apresenta controles de TI se preocupando com a informao em geral - no

apenas informao financeira que necessria para suportar os requisitos de negcio e
os recursos e processos associados com TI.
Relao com o ITIL

Tanto o ITIL como o COBIT so excelentes ferramentas para a TI aperfeioar processos e
alinhar as funes de TI com o negcio e requisitos regulatrios. Em cada processo deve
se utilizar as duas ferramentas juntas. Quando isto acontece, a empresa tem dois ganhos:
a curto prazo ter um esforo de trabalho nico e a longo prazo uma soluo de processo
e conformidade para TI.
Vejamos Principais caractersticas entre os dois:
O COBIT fornece um framework que cobre todas as atividades de TI
O ITIL mais focado no gerenciamento de Servios (domnio de Entrega e Suporte do
Cobit)
O ITIL mais detalhado e orientado a processos
O COBIT ajuda a vincular as melhores prticas do ITIL aos os requisitos de negcio e
aos responsveis do processo de TI
As mtricas do COBIT podem definir critrios de SLA (nveis de servio)
O COBIT e o ITIL no so mutuamente exclusivos e podem ser combinados para uma
boa Governana de TI, controle e melhores prticas para o gerenciamento de TI.
Relao com o ITIL

O diagrama abaixo apresenta os principais livros da biblioteca do ITIL e o relacionamento com os
objetivos de controle dos 4 domnios do COBIT. Em cada livro da biblioteca do ITIL existe Objetivos de
Controle do COBIT que so aplicveis ao processo do ITIL.
Funes e Componentes
COBIT x Requisitos regulatrios

A conformidade com os requisitos regulatrios na qual a empresa est submissa agora
visto como uma questo crtica para o negcio, e faz parte da iniciativa da governana
corporativa.
O COBIT um framework que inclui uma lista de controles que a organizao deve seguir
para assegurar que as suas prticas de negcio em TI estejam alinhadas com os requisitos
regulatrios. Adotando o COBIT as organizaes estaro em conformidade com as
mudanas legislativas que so introduzidas.
Sarbanes Oxley
Com o resultado dos escndalos financeiros em grandes empresas em 2001, o Congresso
americano decretou o Ato Sarbanes-Oxley de 2002. Este ato afeta como as empresas de
capital aberto iro apresentar seus relatrios financeiros, e significativamente impacta a
rea de TI. A conformidade com a Sarbanes-Oxley requer mais do que documentao e
estabelecimento de controles financeiros, ela tambem requer a avaliao da infra-estrutura
de TI e suas operaes e pessoal.
Principais Caractersticas da Sarbanes Oxley - Ato de 2002:
Estabelece novos padres de responsabilidade contbil corporativa, confiabilidade e
transparncia dos relatrios financeiros.
nfase na transparncia dos dados para anlise e interpretao dos dados
nfase no uso de um Framework de Controle para avaliao de controles internos.
Penalidades rgidas no caso de danos seja eles intencionais ou no
Implementao de diretrizes do SEC (Securities and Exchange Commission )
Com mais de 300 sees, a SOX provavelmente a legislao mais significante para os
negcios nos EUA.
Sarbanes Oxley
A conformidade com a SOX (Sarbanes Oxley) ir impactar significativamente as
organizaes de TI na maioria das empresas de capital aberto. Entretanto, existe um
grande problema: no existe nenhuma meno especfica nas sees da SOX voltada para
a TI, e mais importante ainda, no existe nenhuma especificao de quais controles
precisam ser estabelecidos dentro da TI para estar em conformidade com a SOX.
Para resolver este problema muitas empresas acabam adotando o COBIT, pelo fato dele
definir quais os objetivos de controle que precisam ser implementados na TI. Alm disto, o
COBIT um modelo independente de plataforma, independe de tecnologia, podendo ser
adotado em qualquer organizao de TI.
O COBIT est sintonizado com os requisitos legais destas leis. O COBIT o nico modelo
de controle que compatvel com o COSO, cobre todas as atividades de TI e aceito
geralmente pela comunidade de auditores.
Assegurando que a TI est em conformidade com o COBIT far com que a maioria dos
requisitos de conformidades j tenham sido implementados. Usando o COBIT far com que
a organizao esteja atendendo a maioria dos requisitos das leis da SOX.
Processos do COBIT para a SOX

O COBIT possui processos que podem auxiliar na conformidade com a Sarbanes-Oxley:
1. Adquirir e manter software aplicativo
2. Adquirir e manter arquitetura tecnolgica
3. Desenvolver e manter procedimentos de TI
4. Instalar e certificar Solues e Mudanas
5. Gerenciar mudanas
6. Definir e gerenciar nveis de servio
7. Gerenciar servios de terceiros
8. Assegurar a segurana dos sistemas
9. Gerenciar a configurao
10. Gerenciar Problemas
11.Gerenciar Dados
12.Gerenciar Operaes
Como o COBIT ajuda os Auditores e Diretores

O Framework do COBIT ajuda no apenas os usurios tcnicos mas tambm aqueles que
so responsveis pelo uso efetivo de TI, tais como diretores e auditores. O Framework do
COBIT ajuda estes usurios a assegurar que:
Seus requisitos esto sendo entendidos e definidos de forma apropriada.
Eles obtenham informao necessria para realizar os seus trabalhos.
Benefcios do COBIT
Vamos tentar resumir os principais benefcios do COBIT:
O COBIT lida com todos os aspectos dos problemas relacionados com a
Governana de TI
O COBIT foi criado por um grande nmero de especialistas e experts qualificados
O ITGI ajudou com os seus 35 anos de experincia em segurana em TI no
desenvolvimento do COBIT
O COBIT est em manuteno contnua. Periodicamente uma nova verso publicada.
Os patrocinadores do COBIT so organizaes sem fins lucrativos, sua misso ajudar
seus clientes a alcanar seus objetivos principais.
O COBIT pode ser aplicado em empresas de pequeno e grande porte.
Usando o COBIT pode ser introduzido ordem e qualidade em uma poltica de TI
Problemas relacionados a implementao

A implementao do COBIT pode trazer alguns problemas relacionados ao seu uso.
O COBIT um framework de controle com Diretrizes de Auditoria, Ento ele:
NO um plano de auditoria
NO um programa de trabalho
NO fornece passos /tcnicas / procedimentos para auditoria
NO define padres
NO define nveis aceitveis para os Processos de TI
O uso do COBTI requer uma experincia suficiente
com os controles de TI porque ele no detalha a
verificao de controles e passos de testes de fato.
Mdulo 3
Curso Online

www.tiexames.com.br
Objetivos
Este mdulo descreve os componentes do Framework do COBIT e os objetivos de
controle.
No final deste mdulo voc conseguir:
Identificar as funes do Framework do COBIT.

Identificar as caractersticas dos 4 domnios de TI.
Descrever as funes dos Processos de TI.
Descrever os 7 critrios de informao.
Descrever como o COBIT define os recursos em um ambiente de TI.
Descrever os Objetivos de Controle do COBIT.
Framework do COBIT
Framework do COBIT
O Framework do COBIT fornece informaes necessrias para suportar os objetivos de
negcio e seus requisitos. O Framework explica como os Processos de TI entregam
informaes que o negcio necessita para alcanar seus objetivos. A entrega de
informao acontece atravs de 34 objetivos de controle, um para cada processo de TI
dos 4 domnios j vistos.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
reas de foco
Como um framework de controle e governana de TI, o COBIT foca 2 reas chaves:
1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio.
2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e
recursos que precisam ser gerenciados por processos de TI.
O Framework do COBIT descreve como os processos de TI entregam informaes que o
negcio precisa para alcanar seus objetivos. Esta entrega controlada atravs de 34
objetivos de controle, um para cada processo dos 4 domnios. O Framework do COBIT tem
3 componentes chaves.
Organizao das atividades

As organizaes organizam suas atividades de TI em grupos, times, clulas ao invs de
organizar em entorno de processos bem definidos que so interconectados,
interdependentes, e mutuamente reforados. Isto causa lacunas (gaps) e inconsistncias.
Funes TI
Atividades Independentes
Funes TI
Atividade inter-relacionadas
O COBIT promove a organizao das atividades de TI ao entorno dos processos e fornece

um modelo para as organizaes adotarem e adaptarem conforme necessrio. Aps os
processos estarem definidos, eles podem ser alocados a indivduos e gerentes que so
responsveis e devero prestar contas por cada processo. Com esta estrutura
implementada, as atividades de TI podem ser melhor entendidas, organizadas, e mais fceis
de controlar.
Processos de TI
Para comear, iremos aprender mais sobre os Processos de TI em detalhes.
Requisitos Fiducirios
Processos de TI
Domnios
Processos
Atividades
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Processos de TI
O Framework contem 34 processos de TI, os quais so organizados por domnios.
Entrega e Suporte
Monitorao e Avaliao
Processos
34 Processos de TI
Processos de TI
Domnios
Processos
Atividades
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Alguns objetivos de controle existentes no framework

Requisitos de Controle Genrico
Cada processo do COBIT tem 6 requisitos de controle genrico que so comuns para todos
os processos, os quais so definidos no framework. Eles podem ser analisados em conjunto
com os objetivos de controle do processo de forma detalhada para que se possa ter uma
viso dos requisitos de controle.
Controles de Aplicaes
O COBIT assume que o projeto e implementao de controles de aplicaes automatizadas
devem ser de responsabilidade da TI, coberto no domnio de Aquisio e Implementao,
baseado nos requisitos de negcio definidos usando os critrios de informao do COBIT.
A TI entrega e suporta os servios das aplicaes, banco de dados de informao e infraestruturas. Os processos de TI do COBIT cobre os controles gerais da TI mais no suporta
os controles de aplicaes.
Requisitos de Controle Genrico

PC1 Responsvel pelo Processo
Determina um proprietrio para o processo do COBIT, fazendo com que a responsabilidade
seja clara.
PC2 Repetitividade
Define cada processo do COBIT como sendo repetvel.
PC3 Metas e Objetivos
Estabelece metas e objetivos claros para cada processo do COBIT para a execuo eficaz.
PC4 Funes e Responsabilidades
Define funes, atividades e responsabilidades para cada processo do COBIT para a
execuo eficiente.
PC5 Performance do Processo
Mede a performance de cada processo do COBIT em relao s suas metas.
PC6 Poltica, Planos e Procedimentos
Documenta, revisa, mantm atualizado, comunica todas as partes envolvidas em qualquer
poltica, plano, ou procedimentos que guiam os processos do COBIT.
Controles de Aplicaes
AC1 Transao de Entrada de Dados e Autorizao
A transao de entrada de dados dentro das aplicaes de negcio devem ser preparadas
corretamente por pessoas seguindo polticas internas ou contratos externos incluindo a
preveno e deteco de erros.
AC2 Coleo de Documentos de Origem e Entrada de Dados
A Entrada de dados realizada na hora certa pelos membros autorizados da equipe.
AC3 Exatido, Integridade e Verificao de Autorizao durante o Processamento
Os dados que so entrados no processamento (sejam eles gerados por pessoas ou por
sistemas), devem ser verificados quanto a sua exatido, integridade e validade.
AC4 Integridade e Validade do Processamento de Dados
Verifica se os controles de processamento esto sendo executados corretamente. Executa
a validao, autenticao e edio o mais prximo possvel do ponto de origem dos dados.
AC5 Reviso de Sada, Reconciliao e Gerenciamento de Erros
A exatido e integridade do processamento de dados podem ser verificados atravs de
relatrios que podem fornecer informaes relevantes e identificao de possveis erros.
AC6 Autenticao e Integridade da Transao
Assegura que exista um processo para identificao de transaes no autenticadas.
Domnio de Planejamento e Organizao

Objetivo
Este domnio cobre estratgias e tticas, e se preocupa com a melhor forma com a que TI
pode contribuir para atingir os objetivos do negcio. Alm disto, a realizao da viso
estratgica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas.
Escopo do Domnio
Estratgias e Tticas: alinha a TI e a
estratgia de negcio. Otimiza o uso dos
recursos da empresa.
empresa
TI
Viso Estratgica: faz com que todos na

organizao entendam os objetivos da TI.
Organizao e Infra-estrutura: se
preocupa em verificar se os riscos de TI
esto sendo gerenciados, se qualidade dos
sistemas de TI so apropriadas para as
necessidades do negcio.
Domnio de Aquisio e Implementao

Objetivo
Para conseguir cumprir a estratgia de TI, as solues de TI precisam ser identificadas,
desenvolvidas ou adquiridas, e implementadas e integradas nos processos de negcio.
O domnio da Aquisio e Implementao cobre mudanas e manutenes nos
sistemas existentes para assegurar que eles operem sem interrupes.
Escopo do Domnio
Solues de TI: verifica se os novos
projetos atendem as necessidades do
negcio, se eles esto dentro do prazo e
oramento.
Mudanas e Manutenes: verifica se os
novos sistemas esto funcionando
corretamente quando implementados.
Verifica se as mudanas podem ser
realizadas sem interromper as operaes de
negcio.
?
Novos Projetos
Empresa
Domnio de Entrega e Suporte

Objetivo
Esse domnio se preocupa com as entregas reais dos servios requeridos que abrangem
as operaes tradicionais sobre aspectos de segurana e continuidade at treinamento.
Para poder entregar os servios ser necessrio criar processos de suporte. Este domnio
tambm inclui o processamento de dados pelos sistemas de aplicaes.
Escopo do Domnio
Entrega dos Servios requisitados:
verifica se os servios de TI esto
alinhados com as prioridades do negcio.
Configurao dos Processos de
Suporte: verifica se os custos esto
otimizados. Verifica se h
confidencialidade, integridade e
disponibilidade adequada. Verifica se as
cargas de uso dos sistemas de TI so
aceitveis e seguras.
Servios de TI
Prioridades do Negcio
Domnio de Monitorao e Avaliao

Objetivo
Este o domnio que controla os processos de TI que devem ser avaliados regularmente
nos aspectos de qualidade e conformidade.
Escopo do Domnio
Avaliao regular, entrega de garantias: A
performance de TI pode ser medida e os
problemas podem ser detectados antes de
ser tarde demais?
Os controles internos so eficientes e
eficazes?
Medio da Performance: A performance
da TI pode ser relacionada com as metas do
negcio? O risco, controle, conformidade e
performance so medidos e reportados?
TI
Performance
Modelo de Processo do COBIT

Vamos dar uma olhada no modelo de processo do COBIT, o qual contempla 34 processos de TI definidos
em 4 domnios. Estes processos podem ser aplicados em vrios nveis na organizao. Por exemplo,
alguns destes processos podem ser aplicados a nvel corporativo, outros ao nvel de funo de TI, e
outros a nvel do responsvel pelo processo de negcio.
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura de Informao
ME1 Monitorar e Avaliar a Performance de TI

ME2 Monitorar e Avaliar Controle Interno
ME3 Assegurar Conformidade Regulatria
ME4 Fornecer Governana de TI
PLANEJAMENTO E
ORGANIZAO
PO3 Determinar a Direo Tecnolgica

PO4 Definir Processos de TI, Organizao e
Relacionamento
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretivas Gerenciais
PO7 Gerenciar Recursos Humanos
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos
MONITORAO
E AVALIAO
DS1 Definir nveis de Servios
DS2 Gerenciar Servios de Terceiros
DS3 Gerenciar Performance e Capacidade
DS4 Garantir Continuidade dos Servios
DS5 Garantir Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar usurios
DS8 Gerenciar Service Desk e Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
PO10 Gerenciar Projetos
AQUISIO E
IMPLEMENTAO
AI1 Identificar solues

AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter arquitetura tecnolgica
ENTREGA E
SUPORTE
AI4 Desenvolver e manter procedimentos de TI

AI5 Obter Recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e certificar Solues e Mudanas
Medidas de Controle
As medidas de controle para cada processo de TI no satisfaz todos os requisitos de
negcio no mesmo grau. O Framework do COBIT define 3 graus de controle.
Primrio
Impacta diretamente o critrio de informao a que se refere.
Secundrio
Satisfaz parcialmente ou indiretamente o critrio de informao a

que se refere.
Em Branco
Pode ser aplicvel; entretanto, os requisitos so satisfeitos de

forma mais apropriada por um outro critrio neste processo e/ou
ainda por outro processo.
Medidas de Controle
A tabela abaixo fornece uma indicao por processo de TI e domnio, informando qual
critrio de informao impactado (P = Primrio, S = Secundrio) por um objetivo controle
de alto nvel e quais recursos de TI so aplicveis.
Medidas de Controle (continuao)
Recursos de TI
Vamos agora aprender sobre o segundo componente do framework do COBIT,
Recursos de TI.
Processos de TI
Domnios
Processos
Atividades
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Recursos de TI
Aplicaes: sistemas automatizados e
procedimentos manuais para processar informaes
Informao: os dados de todos os formulrios de

entrada, processados e exibidos pelos sistemas de
informao, podendo ser qualquer formulrio que
usado pelo negcio.
Infra-estrutura: inclui hardware, sistemas

operacionais, sistemas de banco de dados, rede,
multimdia, etc. tudo que necessrio para o
funcionamento das aplicaes.
Pessoas: pessoal necessrio para planejar,

organizar, adquirir, implementar, entregar, prestar
suporte, monitorar e avaliar os sistemas de
informao e servios. Eles podem ser internos ou
terceirizados.
e
R
rs
u
c
os
TI
Recursos de TI x Entrega de servios

Vamos analisar uma outra forma de interpretao o relacionamento dos recursos de TI com
a entrega de servios.
Eventos
Objetivos de negcio
Oportunidades de
negcio
Requisitos externos
Regulamentos
Riscos
Informao
Mensagem
(entrada)
Eficcia
Eficincia
Aplicaes
Confidencialidade
Informao
Integridade
Infra-estrutura
Disponibilidade
Conformidade
Confiabilidade
Pessoas
Servio
(sada)
Para assegurar que os requisitos de negcio em relao a informao sejam alcanados,

medidas de controle adequadas precisam ser definidas, implementadas e monitoradas
para estes recursos. Apenas um framework de Controle de Objetivos de TI poderia
assegurar que as organizaes recebam informaes que satisfaam seus objetivos.
Vamos agora aprender sobre o prximo componente do framework do COBIT, Critrios
de Informao.
Processos de TI
Domnios
Processos
Atividades
Requisitos de
Segurana
Recursos de TI
Aplicaes
Informao
Infra-estrutura
Pessoas
Para satisfazer os objetivos de negcio, a informaes precisam estar em conformidade com
um critrio especfico. No COBIT estes critrios so chamados de requisitos de negcio para
informao. Para estabelecer a lista de requisitos, o COBIT combina os princpios embutidos
nos modelos de referncias existentes e conhecidos. Estes 3 requisitos so: Requisitos de
Qualidade, Requisitos de Segurana e Requisitos de Fiducirios.
Qualidade
Entrega
Custo
Confidencialidade
Integridade
Disponibilidade
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes
Conformidade com as leis

e regulamentaes
Confiabilidade das
demonstraes financeiras
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Os requisitos de Qualidade asseguram que o sistema est preparado para o seu propsito
e que o processo ir ocorrer com o mnimo de erros possvel. Os requisitos de qualidade
incluem: qualidade, entrega e custo.
Qualidade
Entrega
Custo
Confidencialidade
Integridade
Disponibilidade
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes

e regulamentaes
Confiabilidade das
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Os requisitos de Segurana incluem: confidencialidade, integridade e disponibilidade.
Qualidade
Entrega
Custo
Confidencialidade
Integridade
Disponibilidade
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes

e regulamentaes
Confiabilidade das
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Os requisitos Fiducirios so focados em satisfazer os requisitos corporativos, do setor pblico, legal e
regulatrios.
Os requisitos Fiducirios incluem eficincia e eficcia das operaes, conformidades com leis e
regulamentos, confiabilidade dos relatrios financeiros. Para satisfazer os requisitos regulatrios o
COBIT se baseia nas definies do COSO. Entretanto, o COBIT expandiu o escopo para incluir todas
informaes, no somente informaes financeiras.
Qualidade
Entrega
Custo
Confidencialidade
Integridade
Disponibilidade
(Relatrio do COSO)
Eficcia e Eficincia
nas operaes

e regulamentaes
Confiabilidade das
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
da Informao
Categorias
Os 3 requisitos Qualidade, Segurana e Fiducirio so divididos em 7 categorias
distintas que podem se sobrepor.
Eficcia: a capacidade de alar metas e resultados propostos. Trata da informao que
est sendo relevante e pertinente ao processo de negcio, bem como que esteja sendo
entregue de um modo oportuno, correto, consistente e til.
Eficincia: Capacidade de Produzir o mximo nos resultados com o mnimo de recursos.
Diz respeito proviso da informao atravs do uso otimizado (mais produtivo e
econmico) dos recursos. Tem foco na otimizao de custos.
Confiabilidade: Relaciona-se proviso de informao apropriada para a gerncia operar a
entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de
conformidade e finanas .
Conformidade: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos
quais o processo de negcio est sujeito.
Confidencialidade: Diz respeito proteo da informao sigilosa contra a revelao no
autorizada
Integridade: Relaciona-se exatido e inteireza da informao bem como sua validez
de acordo com os valores e expectativas do negcio
Disponibilidade: Relaciona-se informao que est sendo disponibilizada quando
requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda
dos recursos necessrios e s capacidades associadas. Tem foco na Entrega de servios
Entendido o framework do COBIT, vamos estudar os conceitos dos objetivos de controle.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Definies
Definio de Controle
Controle envolve as polticas, procedimentos, prticas e
estruturas organizacionais projetadas para fornecer
segurana para que os objetivos do negcio sejam
alcanados e eventos no desejados sejam prevenidos
ou detectados e corrigidos.
Definio de Objetivos de Controle
Definio de determinados objetivos ou resultados a
serem obtidos ao implementar procedimentos de controle
em uma determinada atividade de TI
Os processos precisam de controle

Cada processo de TI precisa ser controlado para que ele possa atingir seus objetivos. O
gerenciamento operacional usa os processos para organizar as atividades de TI. O COBIT
fornece um modelo genrico de processo que representa todos os processos normalmente
encontrados dentro das funes de TI. Para conseguir uma governana efetiva,
necessrio ser implementado controles pelos gerentes de operaes dentro de um
framework de controle definido para todos os processos de TI.
Agir
Como exemplo temos o modelo de
controle ao lado, podemos fazer
uma analogia com o controle de
temperatura de uma sala, quando
a temperatura ideal atingida
(padro) o ar condicionado
desligado e constantemente o
sistema (processo) deve comparar
a temperatura do ambiente
(controle de informao) e acionar
(agir) novamente ser esta se
alterar.
Normas
Padres
Objetivos
Compara
Processo
Controle de Informao
Conceitos de Objetivos de Controle

Cada processo de TI tem um objetivo de controle de alto nvel definido, o qual contem
vrios objetivos de controle.
Relacionamento
Objetivo de
Controle de Alto
Nvel

Consiste em 4 domnios

Objetivos de
Controle
Detalhados
Tipos de Objetivos de Controle

Ns vimos como o framework do COBIT define os 34 processos de TI em 4 domnios. Cada
processo de TI tem um objetivo de controle de alto nvel, o qual pode conter vrios objetivos
de controle. Existem 2 tipos de objetivos de controle: objetivo de controle de alto nvel e
objetivos de controle detalhados.
Objetivo de
Controle de
Alto Nvel
Um objetivo de controle de alto nvel uma declarao

de um resultado desejado a ser alcanado atravs
da implementao de procedimentos de controle
dentro de uma atividade de TI especfica.
Objetivos de
Controle
detalhados
Objetivos de controle detalhados se baseiam em objetivos

de controle de alto nvel, focando no controle de tarefas
chaves e atividades que esto relacionadas com os
processos de TI.
Objetivos de controle de alto-nvel
1 por processo
Objetivos de controle detalhado
3 a 15 por processo
Prticas de Controle
5 a 10 por objetivo de controle
4 Domnios - 34 Processos - 214 Objetivos de Controle
Objetivos de controle alto-nvel:
Relacionamento
Objetivos de controle de alto-nvel:
AI1 Identificar solues
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter arquitetura tecnolgica
AI5 Obter Recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e certificar Solues e Mudanas
Entrega e Suporte
DS1 Definir nveis de Servios
DS3 Gerenciar Performance e Capacidade
DS4 Garantir Continuidade dos Servios
DS5 Garantir Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar usurios
DS8 Gerenciar Service Desk e Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
Monitorao e Avaliao
ME2 Monitorar e Avaliar Controle Interno
ME3 Assegurar Conformidade Regulatria
ME4 Fornecer Governana de TI
Prticas de Controle
Traduz os objetivos de controle do COBIT em prticas detalhadas, implementveis e
fornece uma argumentao de negcio para a implementao, a partir de uma perspectiva
de valor e risco.
Prticas de controle so mecanismos chaves que suportam:
A realizao dos objetivos de controle
Preveno, deteco e correo de eventos no desejados
Prticas de controle so alcanadas atravs de:
Uso responsvel dos recursos
Gerenciamento de riscos apropriado
Alinhamento da TI com o negcio
Framework do COBIT vnculos

A representao abaixo mostra os vnculos entre os Critrios de Informao, Processos
e Recursos
Planejamento &
Organizao
Eficcia
Eficincia
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Aquisio &
Implementao
Entrega &
Suporte
Monitorao
O controle de
Processos de TI
O qual satisfaz
Requisitos de
Negcio
realizado atravs
Declaraes de
Controle
E Considera
Prticas de
Controle
pessoas
aplicaes
tecnologia
infra-estrutura
informao
Exemplo do COBIT 4.0 - DS5 (pgina 1)
Descrio do Processo
Domnios de TI & Indicadores

de Informao
Metas de TI
Metas do Processo
Prticas Chaves
Mtricas Chaves
Indicadores de Recursos de TI
Exemplo do COBIT 4.0 - DS5 (pgina 2)
Detalhado
Objetivos de Controle relacionados com cada Domnio
Processos
TI
Vamos considerar alguns exemplos de processos chaves que precisam ser controlados
em cada um dos 4 domnios. Elencamos 1 processo de exemplo em cada domnio, isto
nos ajuda a entender como est estruturado o Framework do COBIT. Veja abaixo os
objetivos de controle que iremos apresentar como exemplo:
Domnios de TI
AI4 Desenv. e Manter Procedimentos
Entrega e Suporte
Monitorao e Avaliao
ME1 Monitorar e Avaliar a Performance

de TI
Vamos ver adiante estes objetivos de controle em detalhes em cada domnio.

Vale lembrar que a Prova do COBIT Foundation vai ter questes do processo PO10 e DS2.

Foca no controle sobre o processo de Gerenciamento de Projetos para que satisfaa os
requisitos de negcio para TI, na entrega de projetos para que resulte no cumprimento de
prazo, oramento e qualidade.
Gerencia os Projetos
O controle dos
Processos de
TI
Entrega do projeto dentro do

prazo, custo e qualidade
que satisfaz os
Requisitos de
Negcio
Implementao do Gerenciamento de Projetos

possibilitando a participao dos
stakeholders e monitoramento de riscos
focando as
Metas de TI
mais
importantes
Definies para os Frameworks de

Projetos. Diretrizes para o
Gerenciamento de Projetos.
alcanado por
Controles
Chaves
Indicadores para avaliar a performance

dos projetos em relao a prazo,
custo e qualidade.
medido pelas
Mtricas
Chaves

Vamos ver agora objetivos de controle detalhados para o gerenciamento de projetos
Framework de Gerenciamento de Programas

Framework de Gerenciamento de Projetos
Implementao Gerenciamento de Projetos
Comprometimento dos Stakeholders
Declarao do Escopo do Projeto
Fase de Iniciao do Projeto
Plano do Projeto Integrado
Recursos do Projeto
Gerenciamento de Riscos do Projeto
Plano de Qualidade do Projeto
Controle de Mudanas do Projeto
Mtodos de Planejamento de Segurana
Avaliao de Desempenho do Projeto
Encerramento do Projeto

Recursos do Projeto
Mantem o programa de projetos

relacionado ao portflio de programas de
investimentos de TI atravs de
identificao, definio, avaliao,
priorizao e controle dos projetos.
Assegura que os projetos esto atendendo
os objetivos do programa.
Coordena as atividades dos mltiplos
projetos, gerencia a contribuio de todos
os projetos dentro programa para o
resultado esperado, resolve necessidades
de recursos e conflitos.

Recursos do Projeto
Estabelece e mantem um framework de

gerenciamento de projetos que defina o
escopo e fronteiras do gerenciamento de
projetos, bem como metodologias a serem
adotadas e aplicadas em cada projeto.

Recursos do Projeto
Estabelece um gerenciamento de projetos

apropriado ao tamanho, complexidade,
requisitos regulatrios para cada projeto. A
estrutura de governana de projetos pode
incluir funes, responsabilidades,
prestao de contas ao patrocinador,
patrocinadores do projetos, comit de
avaliao, escritrio de projetos e gerente
projetos, e os mecanismos para que estes
possam executar suas responsabilidades,
tais como relatrios e estgios de reviso.

Recursos do Projeto
Obter comprometimento e participao dos

stakeholders afetados na definio e
execuo do projeto dentro do contexto do
programa de investimentos de TI.

Recursos do Projeto
Define e documenta a natureza e escopo

do projeto para confirmar e desenvolver
entre os stakeholders um entendimento
comum do escopo do projeto e como ele
se relaciona com outros projetos dentro do
programa de investimentos de TI.

Recursos do Projeto
Assegura que a iniciao das fases mais

importantes do projetos estejam aprovadas
formalmente e comunicadas para todos os
stakeholders.

Recursos do Projeto
Estabelece um plano de projeto integrado

aprovado e formal. Este plano de projeto
integrado deve gerenciar os sistemas de
informao e de negcio para dirigir a
execuo do projeto e controle do projeto
durante o ciclo de vida do projeto.

Recursos do Projeto
Define as responsabilidades,
relacionamentos, autoridades, critrios de
performance do projeto e especifica bases
para contratao e alocao dos membros
da equipe e/ou contratados para o projeto.

Recursos do Projeto
Elimina ou minimiza os riscos especficos

associados com determinado projetos
atravs de um processo sistemtico de
planejamento, identificao, anlise,
monitorao e controle das reas ou
eventos que possam causar uma possvel
mudana no desejada.

Recursos do Projeto
Prepara o plano de gerenciamento de

qualidade que ir descrever o sistema de
qualidade do projeto e como ele ir ser
implementado.

Recursos do Projeto
Estabelece um sistema de controle de

mudanas para cada projeto, desta forma
todas as mudanas na baseline do projeto,
como por exemplo, custo, prazo, escopo e
qualidade, so revisadas a aprovadas de
forma apropriada dentro de um plano de
projeto integrado.

Recursos do Projeto
Identifica as tarefas de segurana

necessrias para segurar o
credenciamento de sistemas novos ou
modificados durante o planejamento do
projeto e inclui estes no plano de projeto
integrado.

Recursos do Projeto
Medidas de performance do projeto em

relao a critrios chaves do projeto, como
por exemplo, escopo, prazo, qualidade,
custo e riscos para identificar qualquer
desvio do plano do projeto.

Recursos do Projeto
No final de cada projeto, requer que os

stakeholders certifiquem os resultados
entregues pelo projeto e os seus
benefcios. Identifica e documenta as lies
aprendidas para o uso em projetos e
programas futuros.

Vamos ver agora em detalhes objetivos de controle de alto nvel para desenvolver e
manter procedimentos no domnio de Aquisio e Implementao.
Controla os processos de desenvolvimento e
manuteno dos procedimentos de TI
Satisfaz os requisitos de negcio e usurios finais atravs de
Nveis de Servios e integrao das aplicaes com o
negcio
O controle dos
Processos de
TI
que satisfaz os
Requisitos de
Negcio
Prov manuais operacionais e de treinamento

ao usurios para o uso correto dos sistemas
focando as
Metas de TI
mais
importantes
Transferi o conhecimento para a equipe tcnica e

usurios atravs de treinamento e manuais.
alcanado por
Controles
Chaves
Indicadores para avaliar quais sistemas

possuem manuais e treinamento de
suporte
medido pelas
Mtricas
Chaves

Vamos ver os Objetivos de Controle Detalhados para Desenvolver e manter procedimentos de TI na
fase de aquisio e implementao do projeto.
Planejamento para Solues Operacionais
Transferncia de Conhecimento
para a Gerncia de Negcio
para os Usurios Finais
para as Operaes e Equipe de Suporte

Desenvolve um plano para identificar e

documentar todos os aspectos tcnicos,
capacidade operacional e nveis de
servios requeridos, sendo assim, todos os
stakeholders podem tomar a
responsabilidade na hora certa para os
procedimentos operacionais.

Transfere o conhecimento para a gerncia

de negcio permitindo que estes assumam
a propriedade do sistema e da informao
e exeram a responsabilidade pela entrega
de servio e qualidade, controle interno e
processos de administrao de aplicao.

Transfere o conhecimento e habilidades

para os permitir os usurios finais a usar as
aplicaes de um modo eficiente para
suportar os processos do negcio.

Transfere o conhecimento e habilidades

para possibilitar a equipe de suporte
tcnico e de operaes a entregar, dar
suporte e manter os sistemas de
aplicaes e infra-estrutura associados de
acordo com os nveis de servio
requeridos.
Entrega e Suporte
DS2 Gerenciar servios de terceiros

Vamos aprender agora sobre os objetivos de controle de alto nvel para Gerenciar servios
de terceiros na fase de Entrega e Suporte do projeto.
Controla os processos de gerenciamento dos
servios de terceiros.
O controle dos
Processos de
TI
Os servios de terceiros devem satisfazer os requisitos de

negcio para TI em relao a benefcios, custos e riscos.
que satisfaz os
Requisitos de
Negcio
Estabelece relacionamentos com

responsabilidades bilaterais com
provedores de servios qualificados
focando as
Metas de TI
mais
importantes
Identifica e categoriza os tipos de fornecedores.

Identifica e mitiga os riscos. Avaliar
performance.
alcanado por
Indicadores para avaliar a performance
dos prestadores de servio.
Controles
Chaves
medido pelas
Mtricas
Chaves
Entrega e Suporte

Vamos ver os objetivos de Controle detalhados para o Gerenciamento de servios de
terceiros na fase de Entrega e Suporte do processo de TI.
Identificao de todos os Relacionamentos

com Fornecedores
Gerenciamento de Relacionamento com
Fornecedores
Gerenciamento de Riscos com
Fornecedores
Gerenciamento de Performance com
Fornecedores
Entrega e Suporte

com Fornecedores
Fornecedores
Fornecedores
Fornecedores
Identifica todos os servios dos

fornecedores e os categoriza de acordo
com o tipo de fornecedor, importncia,
criticidade. Mantem uma documentao
formal dos relacionamentos tcnicos e
organizacionais, cobrindo funes,
responsabilidades, metas, resultados
esperados e nomes dos contatos destes
fornecedores.
Entrega e Suporte

com Fornecedores
Fornecedores
Fornecedores
Fornecedores
Formaliza o processo de gerenciamento

de relacionamento com cada fornecedor.
Os responsveis pelo relacionamento
precisam ligar as questes do cliente com
o fornecedor e assegurar a qualidade do
relacionamento baseada na verdade e
transparncia, por exemplo, atravs de
Acordos de Nvel de Servio.
Entrega e Suporte

com Fornecedores
Fornecedores
Fornecedores
Fornecedores
Identifica e mitiga os riscos relacionados

com a habilidade do fornecedor para
continuar a entrega de servio efetiva de
uma maneira eficiente e segura.
Assegurar que os contratos estejam em
conformidade com padres de negcios
universais de acordo com requisitos legais
e regulatrios.
Entrega e Suporte

com Fornecedores
Fornecedores
Fornecedores
Fornecedores
Estabelece um processo para monitorar a

entrega de servio assegurando que o
fornecedores esto atendendo os
requisitos do negcio e esto atendendo
os nveis de servio acordados em
contrato, e que a performance
competitiva com fornecedores alternativos
com a mesma condio no mercado.
Monitorao e Avaliao

Vamos ver agora os objetivos de controle de alto nvel nos processos da fase de
Monitorao e Avaliao do Projeto.
Controla os processos de Monitorao e
Avaliao da Performance de TI
Satisfaz os requisitos de negcio para TI como transparncia
e entendimento dos custos de TI, benefcios, estratgia,
nveis de servio.
O controle dos
Processos de
TI
que satisfaz os
Requisitos de
Negcio
Foca na implementao de mtricas de

avaliao de performance.
focando as
Metas de TI
mais
importantes
Transforma os relatrios de performance em

relatrios gerenciais.
alcanado por
Avalia quais processos esto sendo
monitorados, aes tomadas.
Controles
Chaves
medido pelas
Mtricas
Chaves
Monitorao e Avaliao

Vamos ver os objetivos de controle detalhados para os processos da fase de monitorao do
projeto.
Monitorao
Definio e Coleo de Dados para
Monitorao
Mtodo de Monitorao
Avaliao de Performance
Relatrio para o Conselho e Administrao
Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao
Monitorao
Mtodo de Monitorao
Aes corretivas
Assegura que a administrao estabelea

um framework de monitorao, e defina o
escopo, metodologia e processo para ser
seguido para monitorar a contribuio de TI
para o resultado da empresa.
Monitorao e Avaliao
Monitorao
Mtodo de Monitorao
Aes corretivas
Define indicadores de performance,

medidas, targets e bechmarks que sejam
relevantes para os stakeholders.
Monitorao e Avaliao
Monitorao
Mtodo de Monitorao
Aes corretivas
Assegura que o processo de monitorao

desenvolva um mtodo como um balanced
scorecard que fornea uma viso sucinta da
performance de TI e esteja adequado com o
sistema de monitorao corporativo.
Monitorao e Avaliao
Monitorao
Mtodo de Monitorao
Aes corretivas
Reviso peridica da performance em

relao s metas, realiza a anlise de causa
raiz, inicia aes corretivas para eliminar as
causas.
Monitorao e Avaliao
Monitorao
Mtodo de Monitorao
Aes corretivas
Fornece relatrios gerenciais para a reviso

da administrao sobre as metas,
performance do portflio de projetos
relacionados a TI, contribuio da TI para o
negcio.
Monitorao e Avaliao
Monitorao
Mtodo de Monitorao
Aes corretivas
Identifica e inicia aes corretivas baseadas

na monitorao de performance, avaliao
e relatrios.
Mdulo 4
Diretrizes de Gerenciamento e Auditoria
Curso Online

www.tiexames.com.br
Objetivos
Este mdulo descreve as diretrizes de gerenciamento e de auditoria.
Ao final deste mdulo voc conseguir:
Entender a Estrutura das Diretrizes de Gerenciamento

Descrever as entradas e sadas dos processos, atividades e
grficos RACI, mtricas e metas e modelos de maturidade.
Entender a Estrutura das Diretrizes de Auditoria
Entender como os Processos de TI do COBIT so auditados
Entender o que so Prticas de Controles
Diretrizes de Gerenciamento
Objetivos
Ns j aprendemos sobre os objetivos de controle. Agora vamos aprender sobre os
conceitos de diretrizes de gerenciamento.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Existem muitas questes sendo levantadas pela administrao, como as que temos abaixo.
Estas questes sero respondidas durante este mdulo.
Como os gerentes responsveis iro manter
O navio em curso?
Como conseguir resultados que sejam

satisfatrios para o segmento dos nossos
stakeholders ?
Como adaptar a organizao rapidamente
para as tendncias do seu ambiente ?
DASHBOARD
Indicadores
SCORECARDS
Mtricas
BENCHMARKING
Comparaes
As Diretrizes de Gerenciamento do COBIT possibilitam os
administradores da organizao a lidar de forma eficiente
com as necessidades e requisitos da governana de TI.
As diretrizes so orientadas a aes e genricas e
fornecem apoio para obter informaes sobre a
organizao e processos relacionados sob controle, para
monitorar o cumprimento das metas da organizao e
para monitorar o desempenho em cada processo de TI e
realizar bechmarking (comparao) com outras empresas
do mesmo setor.
As diretrizes de Gerenciamento iro responder aos
seguintes tipos de questes: quanto tempo mais vamos
levar, e qual o custo justificado para o benefcio? Quais
so os indicadores de performance ideais? Quais so os
riscos de no alcanar nossos objetivos? O que os outros
esto fazendo? Como ns medimos e comparamos?
Scorecards e Mtricas
As Diretrizes de Gerenciamento especificam medidas de resultado em forma de KGIs (Key Gol Indicadors)
e medidas de performance em forma de KPIs (Key Performance Indicators ). Estas medidas de
performance podem ser usadas para medir e monitorar o progresso em direo ao resultado esperado.
As Diretrizes de Gerenciamento do COBIT sugerem utilizar Balanced Business Scorecards, os quais
fornecem mtricas para alcanar as metas de TI. O scorecard tem 4 dimenses que mapeiam as metas e
indicadores de performance:
Para sermos bem sucedidos
financeiramente como devemos ser
vistos pelos nossos acionistas
Para alcanarmos nossa

viso, como deveramos ser
vistos pelos nossos
clientes?
Para alcanarmos nossa

viso, como sustentaremos
nossa capacidade de mudar
e melhorar?
Para satisfazermos nossos acionistas e clientes,

em que processos de negcios devemos
alcanar a excelncia?
Framework de Diretrizes de Gerenciamento

As Diretrizes de Gerenciamento fornecem 34 processos, Entradas e Sadas com vnculos para
outros processos, atividades chaves para os processos, grficos RACI, Metas e Mtricas.
Descrio do Processo
Critrios de
Informao
The control of
TI process
which satisfy
Business
Requirements
is enabled by
Control
Statements
Recursos
and considers
Control
Practices
Metas, Mtricas
h
h
h
Key Goal
Indicators
h
h
h
Key
Performance
Indicators
h
h
0 - Processos de Gerenciamento no
so aplicados a todos.
1 Os processos so desorganizados.
2 Os processos seguem um padro
regular.
3 - Os processos so documentados e
comunicados.
4 Os processos so monitorados e
medidos.
5 As melhores prticas so seguidas
e automatizadas
Entradas e Sadas de Processos

Cada processo vinculado a outros processos. Entradas so deliverables necessrios
para um processo a partir de outros processos. As sadas so deliverables fornecidos para
outros processos. Em alguns casos, as entradas e sadas no fazem parte do COBIT.
Exemplo: P010 Gerenciar Projetos
De
Entradas
Sadas
Para
PO1
Portfolio de Projetos
Relatrios de Performance do
Projeto
ME1
PO5
Portfolio de Projetos de IT Atualizado
Plano de Gerenciamento de Riscos

do Projeto
PO9
PO7
Matriz de habilidades de TI
Diretrizes de Gerenciamento de
Projetos
AI1....
...AI7
PO8
Padres de Desenvolvimentos
Planos de Projetos detalhados
PO8
AI1....
AI7
Reviso ps-implementao
Portfolio de Projetos atualizados
PO1
PO5
* Deliverables = resultado do processo, entregas.
...AI7
DS
Atividades Chaves e Grficos RACI

Para cada processo, as atividades chaves so definidas junto com um grfico RACI
(Responsible, Accountable, Consulted, and Informed) para cada processo. Accontable
significa aqui pra o dinheiro. Esta a pessoa que fornece direo e autoriza uma
atividade. Esta no pode ser delegada. Responsibility significa que a pessoa que executa
a tarefa. Neste caso, a tarefa no pode ser delegada. As outras funes, consulted e
informed, asseguram qualquer um que precise ser envolvido e suporte o processo. O
grfico RACI define as tarefas que precisam ser delegadas e para quem.
TI, Processos, Metas

Metas e mtricas so definidas no COBIT em 3 nveis:
Metas e mtricas de TI que definem o que o negcio espera de TI (o que o negcio
usaria para medir TI)
Metas e mtricas de processos que definem o que precisa entrar no processo de TI
para suportar os objetivos de TI (como o proprietrio do processo de TI ser avaliado)
Mtricas de performance de processos (para medir como est a performance do
processo indicando se as metas iro ser atingidas)
Tipos de Mtricas
O COBIT usa 2 tipos de mtricas: indicadores de meta e indicadores de performance. Os
indicadores de meta do nvel mais baixo tornam os indicadores de performance para o nvel
mais alto. Os quadros abaixo apresentam as mtricas para o PO10 Gerenciar Projetos.
Key Goal Indicator Indicadores de Meta

Os KGIs definem medidas que dizem administrao se os processos de TI atingiram os
seus requisitos de negcio. So medidas aps o fato ocorrido, normalmente expressadas
em termos de critrios de informao, tais como:
Disponibilidade de informao necessria para suportar as necessidades do negcio

Ausncia de integridade e riscos de confidencialidade
Confirmao da confiabilidade, eficcia e conformidade
O COBIT define 2 nveis de KGIs: uma para o departamento de TI (KGI de TI) e outro para
o processo de TI (KGI de processo).
Exemplo: P010 Gerenciar Projetos
KGI de TI
Percentual de projetos que esto atingindo as expectativas dos stakeholders (a nvel
de tempo, oramento e requisitos de negcios por peso de importncia)
KGI de Processo
Percentual de projetos no prazo e dentro do oramento
Percentual de projetos que esto atingindo as expectativas dos stakeholders
Key Performance Indicator Indicadores de Performance

Os KPIs definem medidas que determinam como est a performance do processo de TI em
relao a meta a ser alcanada. Eles so indicadores de aviso que informam se uma meta
ser alcanada ou no, e so bons indicadores de capacidades, prticas e habilidades. Eles
medem as atividades chaves, as quais so aes que os proprietrios do processo devem
tomar para alcanar a performance efetiva do processo.
Exemplo: PO10 Gerenciar Projetos
Percentual de projetos seguindo padres e prticas de gerenciamento
Percentual de gerentes de projeto certificados ou treinados
Percentual de projetos recebendo revises aps a implementao
Percentual de participaes dos stakeholders em projetos (ndice de envolvimento)
Exemplo do COBIT 4.0 - DS5 (pag. 3)
Relacionamentos
dos processos
Grfico RACI
(atividades e responsabilidades
associadas mais importantes)
Metas de TI &
Mtricas de Performance
Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as
prticas da empresa em relao a indstria e padres e diretrizes internacionais.
Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua
maturidade para um certo processo de inexistente (0) otimizado (5).
Inexistente
Inicial
Reptivel
Definido
Legenda para os Smbolos

Enterprise current status
International standard guidelines
Industry best practice
Enterprise strategy
Gerenciado Otimizado
4
Legendas para o Ranking

0 Processos de Gerenciamento no so aplicados a todosl.
1 Os processos so desorganizados.
2 Os processos seguem um padro regular.
3 - Os processos so documentados e comunicados.
4 Os processos so monitorados e medidos.
5 As melhores prticas so seguidas e automatizadas
.
Modelo de Maturidade Genrico

0
Inexistente
1
Inicial
2
Reptivel
3
Definido
4
Gerenciado
5
Otimizado
Falta completa de qualquer processo identificvel. No existe a conscincia da

necessidade de controles.
J existe processos, s que ainda so ad hoc, tendem a ser aplicados a um
individuo ou tratados a cada caso. De forma geral ainda o gerenciamento
desorganizado.
Os processos j seguem procedimentos similares e so seguidos por diferentes
pessoas que executam a mesma tarefa. No existe treinamento formal ou
comunicao dos procedimentos padres, e a responsabilidade individual. Existe
um alto grau de confiana no conhecimento dos indivduos, desta forma os erros
so provveis.
Os procedimentos foram padronizados e documentados, e comunicados atravs de
treinamento. Ainda possvel acontecer desvios, mas no mais com freqncia. Os
procedimentos no so sofisticados, mas existe formalizao das prticas
existentes.
possvel monitorar e medir a conformidade com os procedimentos e tomar ao
onde os processos aparentam no estar funcionando corretamente. Os processos
esto sobre aperfeioamento constante e fornecem boas prticas. Ferramentas de
automao so usadas de forma limitada e fragmentada.
Os processos foram refinados a um nvel das melhores prticas, baseados em
resultados de aperfeioamento contnuo e modelagem de maturidade com outras
empresas. A TI usada de forma integrada para automatizar fluxos de trabalho,
fornecendo ferramentas para aperfeioar a qualidade e eficincia, e fazendo com
que a empresa se adapte rapidamente.
O modelo de maturidade fornecido pelas
Diretrizes de Gerenciamento do COBIT para
os 34 processos de TI est se tornando uma
ferramenta cada vez mais popular para
gerenciar questes tpicas de balanceamento
de riscos e controle de forma a levar em
considerao o custo-efetivo.
Uma caracterstica fundamental do modelo de
maturidade que ele permite uma
organizao medir o nvel de maturidade e
definir quais nveis de maturidade quer chegar
e quais brechas nos processos quer eliminar.
Como resultado, uma organizao pode
descobrir aperfeioamentos prticos para o
sistema de controles internos de TI.
Avaliao do Nvel de Maturidade

O nvel de maturidade de cada processo
avaliado atravs de questionrios de
avaliao derivados do Modelo de
Maturidade do COBIT. Estes questionrios
se baseiam em um cenrio, cada nvel de
maturidade considerado um cenrio,
incluindo a descrio da organizao e
controles internos de uma empresa que
satisfaa os requisitos de um especfico
nvel de maturidade.
A tabela ao lado mostra um exemplo de
como as declaraes do questionrio so
derivadas do modelo de maturidade do
processo PO10 Gerenciar Projetos.
Exemplo do COBIT 4.0 - DS5 (pag. 3)
Modelo de Maturidade
para o processo especfico

Vamos ver agora um exemplo de Modelo de Maturidade para o Objetivo de Controle PO1 - Definir um
Plano Estratgico de TI.
0
Inexistente
1
Inicial
2
Reptivel
3
Definido
4
Gerenciado
5
Otimizado
O planejamento estratgico de TI no realizado

O planejamento estratgico prtica padro e as excees seriam notadas pela
administrao.
O planejamento estratgico de TI entendido pela administrao de TI, mas no
documentado.
Uma poltica define quando e como fazer um planejamento estratgico de TI.
O planejamento estratgico prtica padro e as excees seriam notadas pela
administrao.
o planejamento estratgico um processo documentado e vivo, continuamente
considerado no estabelecimento das metas da organizao e resulta em valores
compreensveis de negcio atravs de investimentos em TI.
Anlise de GAP
A Anlise de GAP auxilia os gestores de TI a identificar como esto posicionados os macro
controles de TI da organizao em relao aos padres esperados de mercado e/ou s
suas prprias expectativas. Podemos utilizar a mesma tcnica para os processos de TI
aplicados pelo COBIT. Veja abaixo um exemplo de mapeamento de maturidade dos
processos do domnio de Planejamento e Organizao.
Legenda
Expectativa
Situao atual do processo
Mdia
Diretrizes de Auditoria
Tendo entendido os objetivos de controle e diretrizes de gerenciamento, vamos agora ver
os conceitos de diretrizes de auditoria.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Objetivos da Auditoria
A administrao precisa assegurar que as metas e objetivos de TI esto sendo alcanados
e os controles chaves esto sendo aplicados. As diretrizes de gerenciamento descrevem e
sugerem atividades de avaliao para serem executadas para cada um dos 34 objetivos de
controle de alto nvel. Entre os principais objetivos temos:
Fornecer gerenciamento com segurana razovel de que os objetivos de controle

estejam sendo alcanados
Onde exister pontos fracos de controle significantes, ser verificado os riscos

resultantes
Aconselhar a administrao em aes corretivas
Est tudo bem? E se no estiver, o

que fazer para corrigir?
O COBIT permite os auditores internos e externos a confrontar processos de TI especficos
com os Objetivos de Controle do COBIT para determinar onde os controles so suficientes
ou aconselhar melhor gerenciamento onde os processos precisam ser melhorados.
O propsito das Diretrizes de Auditoria fornecer uma estrutura simples para controles de
auditoria e avaliao baseados em prticas de auditoria geralmente aceitas, que sejam
compatveis com o esquema de processos do COBIT.
Auditores externos
Auditores internos
Antes de vermos os componentes das Diretrizes de Auditoria, vamos ver como as
Diretrizes de Auditoria esto vinculadas com os outros componentes do framework do
COBIT.
Negcios
Requisitos
Informao
Processos de
TI
Medido por
Eficincia &
Eficcia
Controlado por
Auditado por
Objetivos das
Atividades
Para Performance
Key Performance
Indicators
Para resultados
Key Goals
Indicators
Objetivos de
Controle
Traduzido por
Diretrizes de
Auditoria
Para Maturidade
Modelos de
Maturidade
Implementado com
Prticas de
Controle
Estrutura do Processo de Auditoria

A estrutura do processo de auditoria geralmente aceita compreende 4 estgios:
Identificao e
Documentao
Obtm um
entendimento dos
riscos relacionados
aos requisitos de
negcio e medidas
de controle
relevantes
Avaliao
Avaliao dos
controles determinados
Testes de
Conformidade
Avaliao da
conformidade testando
se os controles
determinados esto
funcionando como
prescritos,
consistentemente e
continuamente
Testes
Substantivos
Verificando os riscos dos

objetivos de controle que
no esto sendo
alcanados atravs de
tcnicas analticas e/ou
consultando fontes
alternativas
Requisitos para a Auditoria de Processos

Tendo definido o que ser auditado e fornecido segurana, hora de determinar a forma
ou estratgia mais adequada para executar a auditoria. Para isto o COBIT sugere seguir
os seguintes requisitos para a auditoria de processo:
Preocupao com processo de negcio.
Definir o escopo da auditoria
Plataformas, sistemas e seus relacionamentos com o

suporte ao processo.
Funes, responsabilidades e estrutura organizacional
Identificar requisitos de informao

relevantes para o processo do negcio
Relevncia para o processo de negcio.

Mudanas recentes e incidentes no negcio e ambiente
de tecnologia.
Identificar riscos de TI inerentes e um

nvel de controle abrangente
Resultados de auditorias, auto-avaliaes e

certificaes.
Controles de monitorao aplicados pela administrao.
Selecionar processos e plataformas a

serem auditadas
Processos.
Recursos
Controles x risco.
Criar uma estratgia de auditoria
Passos e tarefas.
Pontos de deciso.
Auditoria de Processos de TI
Um processo de TI auditado atravs da:
Obteno do entendimento dos
riscos relacionados com os requisitos de negcio
e medidas de controle relevantes.
Avaliao dos controles determinados, avaliando se estes so apropriados.
Avaliao de conformidade atravs de testes que verifiquem se o
controle determinado est funcionando como previsto, de forma consistente e

contnua.
Substanciao dos riscos dos objetivos de controle que no esto

sendo atingidos atravs de anlises tcnicas ou consultando outras
fontes alternativas.
Diretriz de Auditoria Genrica

Uma diretriz de auditoria genrica identifica vrias tarefas a serem executadas para avaliar
qualquer objetivo de controle dentro de um processo. Esta diretriz um modelo para todos
os objetivos de controle.
Diretrizes de Auditoria orientadas para 34 processos
Outras tarefas so especficas, sugestes para tarefas orientadas a processos fornecem
uma segurana de gerenciamento de que um controle exista e tenha um nvel de eficcia
razovel.
Diretriz de Auditoria Genrica (1 de 4)

Obtendo o Entendimento
So os passos de auditoria a serem executados para documentar as atividades
relacionadas com os objetivos de controle assim como identificar as
medidas/procedimentos de controle a serem aplicados. Para fazer isto a equipe de auditoria
precisa entender de maneira clara as reas de auditoria seguindo os seguintes
procedimentos:
Entrevistar os gerentes e equipes apropriadas para obter e ter um entendimento de:
Requisitos de negcio e riscos associados

Estrutura da Organizao
Funes e responsabilidades
Polticas e procedimentos
Leis e regulamentos
Medidas de controles j aplicadas
Relatrios gerenciais (status, performance, aes)
Documentar o processo relacionado com os recursos de TI que afetam

particularmente o processo sob anlise.
Confirmar o entendimento do processo sob anlise.

Avaliando os Controles
O prximo passo a ser executado avaliar a eficcia das medidas de controle ou o grau
para qual o Objetivo de Controle alcanado, para isto necessrio determinar o que e
como testar:
Avaliando se a medidas de controle so apropriadas para o processo sob anlise,
considerando o critrio identificado, prticas padres na indstria e aplicando
julgamento profissional. Determinando se:
Existem Processos documentados

Existem Deliverables apropriados
A Responsabilidade e a prestao de contas est clara
Controles de compensao existem quando necessrio
Concluindo o grau para o qual o objetivo de controle alcanado

Avaliando a Conformidade
O terceiro passo assegurar que as medidas de controle estabelecidas esto funcionando
como previsto, de forma consistente e contnua, e so apropriadas para o ambiente de
controle:
Obter evidncia direta ou indireta para os itens/perodos selecionados para verificar se
os procedimentos esto em conformidade.
Realizar uma reviso limitada de adequao dos deliverables do processo
Determinar o nvel de testes substantivo e trabalho adicional necessrio para fornecer
uma garantia que o processo de TI est adequado.

Substanciando os Riscos
O passo final substanciar os riscos do Objetivos de Controle que no esto sendo
alcanados usando tcnicas analticas e/ou consultando fontes alternativas.
Documentar as deficincias do controle e possveis
ameaas e vulnerabilidades
Identificar e documentar o impacto atual e potencial
Diretrizes de Auditoria associadas com cada domnio

Cada um dos 34 processos envolvidos nos 4 domnios possui diretrizes de auditoria.
Iremos apresentar a seguir o Processo de PO1 - Definir um Plano Estratgico de TI do
domnio de Planejamento e Organizao, este servir como base para entender como
cada processo ser auditado.
Relacionamento
Objetivo de
Controle de Alto
Nvel
Objetivos de
Controle
Detalhados

Diretrizes de
Auditoria

1. TI como parte do Plano de Longo e Curto Prazo da Organizao
2. Plano de Longo Prazo de TI
3. Planejamento de Longo Prazo de TI Abordagem e Estrutura
4. Mudanas no Plano de Longo Prazo de TI
5. Planejamento de Curto Prazo para a Funo de TI
6. Comunicao dos Planos de TI
7. Monitoramento e Avaliao dos Planos de TI
8. Avaliao dos Sistemas Existentes
Tanto o Objetivo de Controle de Alto-nvel como o detalhado so auditados por:
Obteno do Entendimento atravs de:
Entrevista com:
Chief Executive Officer (CEO)
Chief Operations Officer (COO)
Chief Financial Officer (CFO)
Chief Information Officer (CIO)
Membros responsveis pelo planejamento de TI
gerncia snior de TI e equipe de servios

Obtendo o Entendimento
Para definir o Plano Estratgico de TI preciso obter o entendimento de:
Polticas e procedimentos relacionados com o projetos de processos
Funes e responsabilidades da gerncia snior
Objetivos da Organizao e Planos de Longo e curto prazo
Objetivos de TI e planos de longo e curto prazo
Relatrios de status e reunies com o comit de direo/planejamento

Avaliando os controles
Considerando se:
A funo de TI ou polticas de negcio da organizao e procedimentos fazem parte de um
ambiente com planejamento estruturado.
Uma metodologia deve existir para formular e modificar os planos e ela deve cobrir pelo
menos:
Misso e metas da organizao
Iniciativas da TI para suportar a misso e metas da organizao
Oportunidades para as iniciativas de TI
Estudo de viabilidade das iniciativas de TI
Avaliao de riscos das iniciativas de TI
Investimento adequado das iniciativas de TI para refletir as mudanas na misso e
metas da organizao
Avaliao de estratgias alternativas para aplicaes, tecnologia e organizao

Avaliando a conformidade
Tentando se:
As pautas da reunies do comit de planejamento/direo de TI refletem os processos
de planejamento
Os deliverables da Metodologia de Planejamento existem e so como prescritos
As Iniciativas de TI relevantes esto nos planos de longo e curto prazo (exemplo:
mudanas de hardware, plano de capacitao, arquitetura de informao,
desenvolvimento ou compra de novos sistemas, plano de disaster recovery, etc)
As Iniciativas de TI suportam os planos de longo e curto prazo e consideram os
requisitos para pesquisa, treinamento, equipe e infra-estrutura.
Foram identificadas implicaes tcnicas das iniciativas de TI
A considerao foi realizada sobre a otimizao dos investimentos de TI atuais e
futuros.

Substanciando os riscos dos objetivos de controle que
no esto sendo atingidos
Executando:
Benchmarking dos planos estratgicos de TI em relao a outras empresas similares
ou padres internacionais das melhores prticas da indstria
Reviso detalhada dos planos de TI para assegurar que as iniciativas de TI reflitam a
misso e metas da organizao
Reviso detalhada dos planos de TI para determinar se os pontos fracos dentro da
organizao esto sendo identificados para aperfeioamento como parte das solues
de TI contidas nos planos
Identificando:
Falhas de TI para atender a misso e metas da organizao
Falhas de TI para alinhar planos de longo prazo com planos de curto prazo
Falhas nos projetos de TI para atender os planos de curto prazo
Falhas de TI para atender as diretrizes de custo e prazo
Oportunidades de negcios perdidas
Oportunidades de tecnologia da informao perdidas
Diretrizes de Auditoria x Objetivos de Controle

Veja como as Diretrizes de Auditoria e Objetivos de Controle esto vinculados:
Obteno de Entendimento
Coleta informaes de fundamento para identificar pontos chaves do negcio, riscos, infra-estrutura, etc
Avaliao de Controles
Analisa os Objetivos de Controle para verificar se estes so apropriados
para a empresa e atendem as necessidades da administrao
Avaliao de Conformidade
Analisa os Objetivos de Controle para testar e/ou medir se existem
controles presentes para suportar os objetivos de controle e se estes esto
operando de forma satisfatria
Anlise de Riscos
Analisa as falhas nos objetivos do negcio, perdas, etc, devido a ausncia de controle adequado
Diretrizes de Auditoria X Elementos do COBIT

Veja na ilustrao ao lado
como as Diretrizes de
Auditoria se relacionam com
todos os outros elementos
do COBIT
Negcio
requisitos
Informao
Processos
de TI
M
ed
id
o
Au
di
ta
do
do po
r
po
r
Diretrizes
de Auditoria
em
Prticas de
Controle
ur
at
m
e
ad
id
Key Goal
Indicators
Key
Performance
Indicators
Fatores
Critcos de
Sucesso
ra
pa
ra
Pa
rm
fo
r
pe
ce
an
Para resultad
o
o
id
z
du
ra
Objetivos
de Controle
ado
ent
lem
Imp Com
iente
a efic
Torn
z com
efica
po
r
Contr
ola
Modelos de
Maturidade
= levados em considerao
Prticas de Controle
Prticas de Controle
As Prticas de Controle estende a capacidade do COBIT, fornecendo aos usurios um nvel
adicional de detalhes. Os processos de TI do COBIT, requisitos de negcios e objetivos de
controle definem o que precisa ser feito para implementar uma estrutura de controle
efetiva. As prticas de controle de TI fornece mais detalhes de como e porque so
necessrias para a administrao, provedores de servios, usurios finais e profissionais de
controle, para implementar controles especficos baseados na analise de operaes e
riscos de TI.
Vamos ver a seguir um exemplo de Prticas de Controle
Prticas de Controle
A figura abaixo fornece um exemplo de prtica de controle para o processo AI6 Gerenciar
Mudanas:
Mdulo 5
Produtos e Suporte do ITGI
Curso Online

www.tiexames.com.br
Objetivos
Este mdulo descreve os vrios produtos e servios fornecidos pelo ISACA e ITGI para
suportar o COBIT.
Durante este mdulo iremos descrever os vrios documentos relacionados com o
COBIT, tais como o COBIT online, COBIT QuickStart, COBIT Security Baseline,
Guia de Implementao de Governana de TI e Prticas de Controle.
Recursos do COBIT
Documentos relacionados com o COBIT

A figura abaixo apresenta a estrutura de documentos do ITGI publicada em conjunto com o
COBIT.
Sumrio Executivo
Prticas
Responsabilidades
Executivos & Conselho

Diretrizes de
Gerenciamento
Medidas de Performance
Fatores crticos de sucesso
Gerencia de Negcio e Tecnologia
O que um Framework
de controle de TI?
Como avaliar o Framework

de controle de TI?
Como introduz-lo
na empresa?
Profissional de auditoria, controle e segurana
Framework do COBIT
Prticas de Controle
Guia de Implementao
COBIT QuickStart
COBIT Security Baseline
Documentos relacionados com o COBIT

Durante este mdulo iremos apresentar quais so os principais recursos e documentos
relacionados com o COBIT.
A figura abaixo apresenta os recursos que iremos abordar agora:
COBIT Online
Prticas de
Controle
COBIT Quickstart
Guia de
Implementao
de Governana
de TI
COBIT Security
Baseline
COBIT Online
O COBIT online amplia as possibilidades de pesquisa e comparao para evitar riscos
empresariais, satisfazer necessidades de controle e obter informaes sobre aspectos
tcnicos. O COBIT online uma base de recursos na Internet, onde possvel baixar
diversos arquivos em PDF, postar dvidas na comunidade online, obter indicadores para os
objetivos de controles e realizar benchmark para avaliao de maturidade dos processos
com outras empresas do setor.
O COBIT Online est disponvel a partir do site www.isaca.org . Para obter acesso
necessrio ser membro do ISACA ou comprar uma inscrio de acesso.
COBIT Quickstart
O COBIT QuickStart possibilita voc adotar facilmente os elementos mais importantes do
COBIT. uma verso resumida dos recursos do COBIT, representa 20% do contedo. O
COBIT QuickStart foca nos Processos de TI, Objetivos de Controle e mtricas, e ajuda os
usurios a ganhar rapidamente os benefcios do COBIT.
direcionado para empresas de pequeno e mdio porte onde
a TI no estratgica ou absolutamente crtica para a sobrevivncia da empresa
Fornece uma seleo dos itens bsicos do COBIT
Fornece um fundamento das principais aes a executar
Est disponvel a partir do COBIT online
Guia de Implementao de Governana de TI

O Guia de Implementao de Governana de TI um roadmap para o Conselho de
Administrao, gerncia executiva, profissionais de TI e controle, profissionais de auditoria
em TI e gerentes de conformidade.
Este guia fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas
para implementar um ciclo de vida de Governana de TI contnuo usando o COBIT.
Este guia foca e uma metodologia genrica nas seguintes reas:
Por que a Governana de TI importante e por que as
organizaes devem implement-la.
Como o COBIT est vinculado com a Governana de
TI e como o COBIT possibilita a implementao da
Governana de TI.
Stakeholders que tem interesse na Governana de TI.
Um roadmap para implementar a Governana de TI
usando o COBIT.
Cobit Security Baseline

O COBIT Security Baseline ajuda uma organizao a se focar nos passos essenciais para
extrair as informaes mais importantes relacionadas a segurana do framework do COBIT.
Este documento uma destilao do COBIT para vrios grupos de usurios, sugerindo os
passos de controles mnimos para cada processo e objetivos de controle detalhados do
COBIT. Inclui tambm um mapa de controles relacionados com a ISO 17799.
um kit de sobrevivncia para os seguintes grupos de usurios:
Gerentes
Diretores
Usurios Profissionais
Executivos Seniores
Usurios Domsticos
Executivos
Kit de sobrevivncia
Prticas de Controle
As prticas de controle descrevem quase 1.600 Prticas de Controle, que estende a
hierarquia de Domnio-Processo-Objetivo de Controle. So mecanismos que do suporte
para alcanar os objetivos de controle, como preveno, deteco e correo de eventos
no desejados atravs do uso adequado dos recursos, gerenciamento de riscos apropriado
e alinhamento de TI com o negcio.
As prticas de controle detalham:
Como cada processo pode ajudar a controlar e a
gerenciar riscos
Gerenciamento de riscos atravs da reduo da probabilidade
das conseqncias adversas das ameaas e vulnerabilidades
Aumento dos benefcios atravs dos ganhos de eficincia e/ou
eficcia
Indicadores de performance das Diretrizes de Gerenciamento
do COBIT
Existem pelo menos duas prticas de controle detalhadas para
cada objetivo de controle

GovernancaTI COBIT PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

GovernancaTI COBIT PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Mdulo 1

Todos os direitos de cpia reservados. No permitida a distribuio fsica ou eletrnica

Bem vindo ao Curso de COBIT

ITSM = IT Service Management

Evoluo da Funo de TI dentro das organizaes

A TI busca o crescimento do negcio

Os oramentos so baseados em

Os oramentos so baseados na estratgia do

A TI atua independente do negcio

A TI vista como uma despesa a ser

A TI vista como um investimento a ser

Os gerentes de TI so tcnicos

Os gerentes de TI so solucionadores de

Evoluo das metodologias de gerenciamento de TI

Manter os Servios de TI disponveis

Gerar valor nos projetos de TI

Reduo de Custos e Riscos

Crescimento da complexidade dos ambientes de TI

Gerenciar diversas infra-estruturas de TI

Adaptar-se a rpidas mudanas e novos

Alinhar a TI com o negcio

Complexidade dos projetos

Conformidade com normas regulatrias

Manter segurana sobre as informaes

O que vamos ver agora?

Quais sos os princpios da Governana de TI?

O que Governana de TI?

Conceito baseado no ITGI

Governana de TI faz parte da Governana Corporativa

Por que a Governana de TI importante?

Diferena entre Gerenciamento de TI e Governana de TI

A figura ao lado mostra o

Diferena entre Gerenciamento de TI e Governana de TI

Questes a serem tomadas

Princpios bsicos para a TI

Declaraes de alto nvel sobre como a TI deve

Escolhas tcnicas, polticas, regras, planos de

Estratgias para a Infra-estrutura de TI

Estratgias para os recursos e competncias de

Necessidades das aplicaes aos

Especificar necessidades de negcio para

Investimentos em TI e suas prioridades Aprovao e justificao de projetos

Os diretores seniores tomam as decises de TI

Os profissionais de TI podem tomar as decises

As unidades de negcios podem tomar decises para

Deciso coordenada envolvendo a organizao e os

Acordo bilateral entre executivos de TI e um outro

Especifica os Objetivos Mtricas

Especifica os Objetivos Mtricas

Especifica os Objetivos Mtricas

Especifica os Objetivos Mtricas

Alinhando TI com o Negcio

Benefcios do Alinhamento Estratgico

O Gerenciamento de Riscos envolve as seguintes

Importncia do Gerenciamento de Riscos

Pontos de Otimizao de Recursos

Para a monitorao de performance ter sucesso, mtricas eficientes devem ser

Governana e o Framework de Controle

Caractersticas de um framework de controle

Todos os direitos de cpia reservados. No permitida a distribuio fsica ou eletrnica

Entender o que o COBIT e quais suas aplicaes

O COBIT um framework de governana e

O acrnimo COBIT significa Control Objectives for